帕诺斯6.0 和上升
阅读文档 https://live.paloaltonetworks.com/docs/DOC-6212 , 用于在帕洛阿尔托网络防火墙上配置解密镜像端口.
当一个会话被标记为镜像时, 防火墙会向它添加镜像标志, 因此接下来需要发送到专用接口的所有数据。 因为该标志被添加到会话中, 所以很容易在会话表和日志中搜索要转发的会话。
要检查哪些活动会话要转发到镜像端口, 请使用此 cli 命令:
admin@PA-5050-HA-Primary> 显示会话所有筛选器解密-镜像是
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育] 区/原始 (翻译 IP[Port])
Vsys Dst [Dport] / 区 (翻译 IP[Port])
--------------------------------------------------------------------------------
33557825网络浏览活动流 * NS 10.193.91.111 [55572]/不信任/6 (10.193.88.91 [47276])
vsys1 74.125.71.139 [443]/不信任 (74.125.71.139 [443])
33557818网络浏览活动流 * NS 10.193.91.111 [55564]/不信任/6 (10.193.88.91 [2860])
vsys1 216.58.209.230 [443]/不信任 (216.58.209.230 [443])
33557822网络浏览活动流 * NS 10.193.91.111 [55567]/不信任/6 (10.193.88.91 [7089])
vsys1 173.194.78.100 [443]/不信任 (173.194.78.100 [443])
33557829 youtube-基地活动流 * NS 10.193.91.111 [55576]/不信任/6 (10.193.88.91 [31508])
vsys1 74.125.105.16 [443]/不信任 (74.125.105.16 [443])
33557814 youtube-基地活动流 * NS 10.193.91.111 [55560]/不信任/6 (10.193.88.91 [14969])
vsys1 216.58.209.238 [443]/不信任 (216.58.209.238 [443])
33557824网络浏览活动流 * NS 10.193.91.111 [55571]/不信任/6 (10.193.88.91 [42160])
vsys1 74.125.71.155 [443]/不信任 (74.125.71.155 [443])
33557816 youtube-基地活动流 * NS 10.193.91.111 [55562]/不信任/6 (10.193.88.91 [14877])
vsys1 74.125.105.16 [443]/不信任 (74.125.105.16 [443])
33557813网络浏览活动流 * NS 10.193.91.111 [55558]/不信任/6 (10.193.88.91 [48370])
vsys1 216.58.209.224 [443]/不信任 (216.58.209.224 [443])
33557817 youtube-基地活动流 * NS 10.193.91.111 [55563]/不信任/6 (10.193.88.91 [17210])
vsys1 74.125.105.16 [443]/不信任 (74.125.105.16 [443])
33557828网络浏览活动流 * NS 10.193.91.111 [55575]/不信任/6 (10.193.88.91 [15106])
vsys1 216.58.209.225 [443]/不信任 (216.58.209.225 [443])
8396网络浏览活动流 * NS 10.193.91.111 [55568]/不信任/6 (10.193.88.91 [6490])
vsys1 74.125.133.155 [443]/不信任 (74.125.133.155 [443])
如果会话表是通过 webGUI 中的会话浏览器列出的, 则可以实现同样的效果。转到监视器 > 应用程序范围 > 会话浏览器。
在这里, 需要添加过滤器的 "解密镜像" 值为 "是"。
当会话关闭时, 如果启用了日志末尾的会话, 则会话将在通信日志中创建日志。使用 "标志具有解密-镜像" 筛选器将在日志中显示具有 "解密-镜像" 标志的所有会话。
现在, 如果我们查看筛选列表中的某个会话, 我们还可以看到该标志:
自定义报告
在许多情况下, 有必要报告由于法规而解密的通信量, 因此此信息还可用于为解密的通信创建自定义报表。 这可以在监视器 >> PDF 报告 > 管理自定义报告。
- 使用详细的通信日志数据库创建新报表。
- 选择所需的时间框架, 并选择所需的列, 其中建议至少有应用程序、应用程序类别、源 ip、源用户 (如果使用用户 ID) 目标 ip 和传输的数据量 (字节)。
- 创建将包括标志解密镜像的查询。
- 使用 "立即运行" 选项测试报表, 并确认显示数据。
之后, 可以安排报表在间隔时间运行. 还有一个选择发送电子邮件。