SMB トラフィックがブロックされ、共有フォルダへのアクセス中にエクスプローラウィンドウがハングする
Resolution
問題
サーバーメッセージブロック (SMB) トラフィックがブロックされ、共有フォルダーへのアクセス中に Windows エクスプローラーウィンドウがハングします。
原因
この現象は、ファイルブロックプロファイルがあり、そのセッションによって一致するセキュリティルールでブロックアクションが使用されている場合に発生します。
詳細
[セキュリティポリシー] > [アクション] で、セッションがパロアルトネットワークファイアウォールを通過し、特定の許可ポリシーと一致する場合、定義された条件に従って、ポリシーで定義されたアクションが実行されます。
次の例では、一致するセキュリティポリシールールは "allow_all" であり、ファイルブロックのプロファイルがあります。
ファイルブロックプロファイルでは、すべての PE ファイル (.exe、.msi を含む) がブロックされているため、そのセッション内のファイルの種類に一致するすべての file が、セッションを破棄状態にします。
ユーザーがその中に .exe ファイルを持つ共有フォルダを開くと、そのセッションの開始は破棄状態になり、他のファイルはマシン間を移動できなくなります。
> セッションを表示すべてのフィルタの宛先10.193.17.10
--------------------------------------------------------------------------------
ID アプリケーション状態型フラグ Src [スポーツ]/ゾーン/プロト (翻訳 IP[Port])
Vsys Dst [よ]/ゾーン (IP[Port]) の翻訳
--------------------------------------------------------------------------------
152568 ms-ds-smb 廃棄フロー NS 192.168.8.136 [49158]/Trust-L3/6 (10.193.17.8 [32047])
vsys1 10.193.17.10 [445]/Untrust-L3 (10.193.17.10 [445])
次の例を参照してください、セッションはセキュリティポリシーチェックによって状態を破棄するように設定されます。
>セッション id 152568を表示
セッション152568
c2s の流れ:
ソース: 192.168.8.136 [トラスト-L3]
dst: 10.193.17.10
プロト: 6
スポーツ: 49158 dport: 445
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
s2c フロー:
出典: 10.193.17.10 [Untrust-L3]
dst: 10.193.17.8
プロト: 6
スポーツ: 445 dport: 32047
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 木4月 17 17:12:56 2014
タイムアウト: 90 秒
合計バイト数 (c2s): 44292
合計バイト数 (s2c): 50073
layer7 パケット数 (c2s): 182
layer7 パケット数 (s2c): 176
vsys: vsys1
アプリケーション: ms-ds-smb
ルール: allow_all
最後に記録されるセッション: 真
セッションでセッション: False
HA ピアから同期セッション: False
アドレス/ポート変換: 元 + 転送先
nat ルール: NAT_all_inside_to_out (vsys1)
layer7 処理: 完成品
URL フィルターを有効に: 真
URL カテゴリ:任意
syn クッキーを介してセッション: False
ホスト セッションを終了: False
セッションは、トンネルを通過する: False
非脱落型ポータル セッション: False
進入インタフェース: ethernet1/2
出口インターフェイス: ethernet1/1
セッション QoS ルール: N/A (クラス 4)
トラッカーステージファイアウォール: 軽減ブロックの続きの url
フォルダが開かれるとすぐに、SMB セッションは破棄状態に入ります。同じフォルダに .txt ファイルがあり、それらをコピーしようとすると、SMB セッションが既に破棄されているために失敗します。これは、.txt ファイルのブロックポリシーがない場合でも発生します。
ユーザーは、Windows エクスプローラーアプリケーションがハングし、共有フォルダーを開いた後に結果を返さないと、これが発生します。
次に示すように、グローバルカウンタはその情報も確認します。
> デルタの表示カウンター グローバル フィルター パケット フィルターはいはい
グローバルのカウンター:
最後のサンプリングからの経過時間: 58.678 秒
名前値率重大度カテゴリの側面の説明
--------------------------------------------------------------------------------
pkt_recv 1511 25 情報パケット pktproc パケット受信
pkt_sent 349 5 情報パケット pktproc パケット送信
session_allocated 2 0 情報セッションリソースセッションが割り当てられました
session_installed 2 0 情報セッションリソースセッションがインストールされました
session_discard 4 0 情報セッションリソースセッションは、セキュリティポリシーのチェックによって破棄するように設定
flow_fwd_mtu_exceeded 21 0 情報フローフォワードパケットの長さが mtu を超えました
flow_ipfrag_frag 42 0 情報フロー ipfrag IP フラグメント送信
flow_host_pkt_xmt 1248 21 情報フロー管理パケットを制御プレーンに送信
flow_host_vardata_rate_limit_ok 1227 20 情報フロー管理ホスト vardata 送信されません: レート制限 ok
appid_ident_by_dport 1 0 情報 appid pktproc L4 dport によって識別されるアプリケーション
appid_proc 2 0 情報 appid pktproc アプリケーションの識別によって処理されたパケットの数
appid_use_dfa_1 2 0 情報 appid pktproc 2 番目の dfa テーブルを使用したパケットの数
appid_skip_terminal 2 0 情報 appid pktproc dfa 結果はターミナルです。
nat_dynamic_port_xlat 2 0 情報 nat リソース dynamic_ip_port の合計数は、nat の翻訳と呼ばれる
dfa_sw 326 5 情報 dfa pktproc ソフトウェアを使用した dfa マッチの総数
ctd_run_pattern_match_failure 2 0 情報 pktproc ランパターンマッチの失敗
aho_sw 507 8 情報 aho pktproc aho のためのソフトウェアの総使用量
ctd_appid_reassign 5 0 情報 pktproc appid が変更されました
ctd_pkt_slowpath 318 5 情報 slowpath によって処理される pktproc パケット
ctd_detector_discard 2 0 情報 pktproc セッションは、検出器によって破棄
log_pkt_diag_us 23585 401 情報ログシステム時間 (米国) パケット diag ログの書き込みに費やす
--------------------------------------------------------------------------------
表示されるカウンタの総数:21
--------------------------------------------------------------------------------
解決方法
これは、SMB の性質上、予期される動作です。SMB セッション用にブロックプロファイルがアタッチされたセキュリティルールがある場合は、ブロックされるはずのファイルの種類を、許可されたファイルを持つポリシーで混在させないことをお勧めします。
所有者: ialeksov