SMB 通信被阻止, 并且 Windows 资源管理器窗口在访问共享文件夹时挂起

问题

服务器消息块 (SMB) 通信被阻止, 并且 Windows 资源管理器窗口在访问共享文件夹时挂起。

 

原因

当存在文件阻止配置文件时, 可能会发生这种情况, 在与该会话匹配的安全规则中使用了块操作。

 

详细

在安全策略 > 操作中, 如果会话通过帕洛阿尔托网络防火墙并匹配特定的允许策略, 根据定义的条件, 将采取策略中定义的操作。

在下面的示例中, 匹配的安全策略规则是 "allow_all", 它具有文件阻止的配置文件。

 

文件阻止配置文件正在阻止所有 PE 文件 (包括 .exe、. msi), 该会话中与文件类型匹配的任何文件都将使会话进入丢弃状态。

 

一旦用户在其中打开具有 .exe 文件的共享文件夹, 该会话打开将进入放弃状态, 并且其他文件将无法在计算机之间移动。

 

>> 显示会话所有筛选目标10.193.17.10

 

--------------------------------------------------------------------------------

ID 应用程序状态类型标志 Src [体育] 区/原始 (翻译 IP[Port])

Vsys Dst [Dport] / 区 （翻译 IP[Port])

--------------------------------------------------------------------------------

152568 ms ds smb 丢弃流 NS 192.168.8. 136 [49158]/信任-L3/6 (10.193.17.8 [32047])

vsys1 10.193.17.10 [445]/不信任-L3 (10.193.17.10 [445])

 

 

请参见下面的示例, 通过安全策略检查将会话设置为 "放弃状态":

>>显示会话 id 152568

 

会话152568

 

        c2s 流︰

                来源: 192.168.8.136 [Trust-L3]

                dst: 10.193.17.10

                原： 6

                体育: 49158 dport: 445

                状态︰ 初始化类型︰ 流

                src 用户︰ 未知

                dst 用户︰ 未知

 

        s2c 流︰

                来源: 10.193.17.10 [Untrust-L3]

                dst: 10.193.17。8

                原： 6

                体育: 445 dport: 32047

                状态︰ 初始化类型︰ 流

                src 用户︰ 未知

                dst 用户︰ 未知

 

        开始时间: 周四 4月17日 17:12:56 2014

        超时： 90 秒

        总字节数 (c2s): 44292

        总字节数 (s2c): 50073

        layer7 数据包计数 (c2s): 182

        layer7 数据包计数 (s2c): 176

        vsys: vsys1

        应用: ms-smb 

        规则: allow_all

        会议结束时记录︰ 真实

        会议在会议经理︰ 虚假

        医管局对等方同步会话︰ 虚假

        地址/端口翻译︰ 源 + 目的地

        nat 规则: NAT_all_inside_to_out (vsys1)

        layer7 处理： 完成

        已启用 URL 筛选： 真实

        URL 类别:任何

        通过 syn cookie 的会话︰ 虚假

        在主机上终止会话︰ 虚假

        会议遍历隧道︰ 虚假

        圈养的门户会话︰ 虚假

        入口接口: ethernet1/2

        出口接口: ethernet1/1

        会议 QoS 规则︰ n/A （4 班）

        跟踪器阶段防火墙: 缓解块接续网址

 

打开文件夹后, SMB 会话将进入丢弃状态。如果同一文件夹有 .txt 文件, 如果试图复制它们, 则会失败, 因为 SMB 会话已被丢弃。即使对 .txt 文件没有阻塞策略, 也会发生这种情况。

用户将体验到这一点, 因为它们的 Windows 资源管理器应用程序挂起, 并且在打开共享文件夹后不会返回任何结果。

 

如下所示, 全局计数器也确认了这些信息:

> 显示计数器的全局过滤器数据包筛选器是三角洲是的

 

全局计数器：

上次取样后的运行时间: 58.678 秒

 

名称值率严重性类别方面说明

--------------------------------------------------------------------------------

pkt_recv 1511 25 信息包 pktproc 收到的数据包

pkt_sent 349 5 信息包 pktproc 传输数据包

session_allocated 2 0 信息会话资源会话分配

session_installed 2 0 信息会话资源会话已安装

session_discard 4 0 信息会话资源会话设置为通过安全策略检查放弃

flow_fwd_mtu_exceeded 21 0 信息流前向数据包长度超过 mtu

flow_ipfrag_frag 42 0 信息流 ipfrag 传输的 IP 片段

flow_host_pkt_xmt 1248 21 信息流管理传输到控制平面的数据包

flow_host_vardata_rate_limit_ok 1227 20 信息流管理主机 vardata 未发送: 速率限制确定

appid_ident_by_dport 1 0 信息 appid pktproc 应用程序 L4 dport 识别

appid_proc 2 0 信息 appid pktproc 应用程序标识处理的数据包数

appid_use_dfa_1 2 0 信息 appid pktproc 使用第二个 dfa 表的数据包数

appid_skip_terminal 2 0 信息 appid pktproc dfa 结果为终端

nat_dynamic_port_xlat 2 0 信息 nat 资源 dynamic_ip_port nat 翻译的总数称为

dfa_sw 326 5 信息 dfa pktproc 使用软件实现 dfa 匹配的总数

ctd_run_pattern_match_failure 2 0 信息 pktproc 运行模式匹配失败

aho_sw 507 8 信息阿霍 pktproc 阿霍软件的总使用情况

ctd_appid_reassign 5 0 信息 pktproc appid 被更改

ctd_pkt_slowpath 318 5 信息 pktproc slowpath 处理的数据包

ctd_detector_discard 2 0 信息 pktproc 会话被探测器丢弃

log_pkt_diag_us 23585 401 信息日志系统时间 (美国) 用于编写数据包诊断日志

--------------------------------------------------------------------------------

显示的计数器总数:21

--------------------------------------------------------------------------------

 

解决办法

由于 SMB 的性质, 这是预期的行为。如果在 SMB 会话中有一个附加了块配置文件的安全规则, 最好不要混合应该被阻止的文件类型, 以及带有允许文件的策略。

 

所有者： ialeksov