セキュリティ規則のアクション構成とトラフィックのログで見たに不整合があります。
29873
Created On 09/26/18 13:49 PM - Last Modified 06/13/23 02:48 AM
Resolution
問題の状況
いくつかの状況でありますトラフィック ログ エントリ セッションは、「許可する」ドロップ ルールに一致する間、記録の不十分なデータとアプリケーションをされます。
例えば:
ゾーン「replay_eth3」「replay_eth2」ゾーンから FTP トラフィックを取る。
この FTP トラフィックは完了になりますRST パケットは、コマンド セッション (dport 21) の初めにクライアントによって送信されます。
この不完全な FTP トランザクションは、セッションが不十分なデータとして認識されるようにします。
FTP アプリケーションに接続されているデコーダーは、コンプライアンス チェックを達成して、FTP アプリケーションの検証に十分なデータを受信しませんでした。
注: FTP は必須ではありませんが、デコーダを持つすべてのアプリケーションで発生する可能性があります。
パロ ・ アルトのネットワーク ファイアウォール セキュリティ ルールベースは以下の例に示します。
セキュリティ ルールベースの次に重要です。
- '' アプリケーションのトラフィックを拒否する 1 つのルール
- 上記の特定のアプリケーションのトラフィックを許可する 1 つのルール
- FTP トラフィックの流れ組 (sip、アゾンインターナショナル、ディップ、dzone) でお越しの際にもこのルールに一致します。それはキックにアプリ ID をできるようになります。
- トラフィックは破棄されますアプリ ID が始まる前にそのような規則がない場合
これらの条件の下で FTP トラフィックが"replay_eth3"のゾーンにゾーン「replay_eth2」から生成された場合これをブロックされる次のログ エントリ。
原因
この現象は、次のよう説明することができます。
- パロ ・ アルトのネットワーク ファイアウォールは「すべて拒否」のルール (拒否) で構成されている最終的な行動を取るために必要なすべての情報が非常に特定のシナリオではありません。
- アプリケーション デコーダー (トランザクションに対していくつかの準拠テストを実行している) アプリケーションを検証すれば最後のアクション撮影されます。
- この検証後最終的なルールの一致と行動は延期されます。
RST パケットを受信すると、セッションはこれらの状態で終わる。
- 不十分なデータ
FTP セッションが不完全であり、検証されていません - "許可" アクションアクションを使用して "すべて拒否" ルールを照合すると
、アプリ ID が (4 つのデータパケットまたはペイロードの2000バイト内で) 達成されるために一時的に "許可" に設定され、"すべて拒否" ルールは最適な可能性が一致しました。
所有者: nbilly