Diskrepanz in den NetFlow-Daten über den "unvollständigen" Anwendungs Verkehr
Resolution
Problem
Bei der Überwachung von Palo Alto Networks Firewall-Bandbreite und Netzwerkverkehr mit einem NetFlow-Analysator kann es zu einer gewissen Diskrepanz im "unvollständigen" Anwendungs Verkehr kommt, der auf dem NetFlow-Server gemeldet wird, versus dem, was auf dem ACC-Tab der Firewall berichtet wird.
Details
Für TCP-Sessions hat das erste Paket in einem TCP-Handshake keine Anwendungsdaten, um Pattern-Matching mit Signaturen durchzuführen, um die Anwendung zu identifizieren. Daher wird der APP-ID-Cache verwendet, um die Anwendung auf dem ersten Paket zu identifizieren. Es hilft bei den politikbasierten Weiterleitungs Regeln, bei denen eine Routing-Entscheidung auf dem ersten Paket einer Sitzung basieren muss. In diesem Fall wird die Routing-Entscheidung getroffen, bevor eine Anwendung identifiziert werden kann, so dass der APP-ID-Cache einen Mechanismus bietet, um eine beste Schätzung für die Weiterleitung von Entscheidungen zu machen.
Die Firewall versucht, die Anwendung der neuen Session auf der Grundlage eines passenden zwischengespeicherten Eintrags zu identifizieren, der mit dem gleichen Ziel IP/Port verbunden ist. Wenn kein Match gefunden wird, begriffen die Firewall die Anwendung als ' none ', die in Datensätzen, die an den NetFlow-Sammler gesendet werden, als "unvollständig" angesehen wird.
Siehe dieses Beispiel:
Sobald die Firewall einen weiteren Datenaustausch für diese Sitzung sieht, identifiziert Sie die Anwendung auf der Grundlage von Pattern-Matching-Signaturen und sendet einen aktualisierten Datensatz für die Sitzung an den NetFlow-Sammler.
Einige NetFlow-Sammler halten sich an die erste Identifizierung der Bewerbung für eine Sitzung und machen keine weiteren Änderungen im Bewerbungs Feld der Sitzung. Dadurch entsteht die Diskrepanz in der Menge des "unvollständigen" Anwendungs Verkehrs, der von der Firewall gemeldet wird, versus dem, was vom NetFlow-Server berichtet wird.
Besitzer: Apasupulati