Aktion konfiguriert in Sicherheitsregeln und Seen im Traffic-Log ist inkonsistent
Resolution
Symptom
In einigen Situationen darf es ein Traffic-Log-Eintrag für eine Session, wo die Anwendung als nicht genügend Daten, angemeldet "zulassen", während der passende Tropfen in der Regel erkannt wird.
Zum Beispiel:
Nehmen Sie FTP-Verkehr aus einer Zone "replay_eth2" zu einer Zone "replay_eth3".
Dieser FTP-Datenverkehr wird unvollständig sein; ein RST-Paket wird zu Beginn der Sitzung (Dport 21) Befehl vom Client gesendet werden.
Diese unvollständige FTP-Transaktion wird es ermöglichen, die Session als unzureichend zu erkennen-Daten.
Der Decoder angeschlossen, der FTP-Anwendung hat nicht genügend Daten um Konformität überprüft und validieren der FTP-Anwendungdes erhalten.
Hinweis: FTP ist nicht zwingend, es kann für alle Anwendungen mit einem Decoder passieren.
Sicherheit-Regelwerk in der Palo Alto Networks Firewall ist im folgenden Beispiel gezeigt:
In Sicherheit Regelwerk ist es wichtig, über Folgendes verfügen:
- Eine Regel, die Datenverkehr für 'any' Anwendung zu leugnen
- Eine Regel über Verkehr für eine bestimmte Anwendung ermöglicht
- Flow-Tupel (Sip, Szone, Dip, Dzone) für FTP-Verkehr muss dieser Regel entsprechen. Es erlaubt die App-ID zu treten in.
- Wenn es keine Regel gibt, wird Datenverkehr gelöscht werden, bevor die App-ID beginnt
Unter diesen Bedingungen wenn FTP-Verkehr von Zone "replay_eth2" Zone "replay_eth3" generiert wird werden dies mit den folgenden Protokolleintrag blockiert:
Ursache
Dieses Verhalten kann wie folgt erklärt werden:
- In diesem sehr speziellen Fall muss Palo Alto Networks Firewall nicht alle Informationen, die erforderlich, um die Abschlussaktion in "Deny All" Regel (Deny) konfiguriert
- Die endgültige vorgegangen wird nach der Anwendung-Decoder (einige Kompatibilität Test gegen Transaktion ausgeführte) Anwendung überprüft
- Die endgültige Regelung Spiel und Aktion werden nach dieser Validierung aufgeschoben werden
Wenn die RST-Paket empfangen wird, wird die Sitzung beendet, mit diesen Staaten:
- Unzureichend-Daten-
FTP-Session ist unvollständig und nicht validiert - Die Matching-Regel "Denial all" mit "Allow"
-Aktion wurde vorübergehend auf "Allow" gesetzt, um die APP-ID zu erreichen (innerhalb von 4 Datenpaketen oder 2000 Bytes Nutzlast), und die "Denial all"-Regel war das beste Potential Match.
Besitzer: Nbilly