Discrepancia en los datos NetFlow sobre el tráfico de aplicaciones "incompletos"

Incidencia

Cuando se monitorea el tráfico de red y el ancho de banda del firewall de palo alto usando un analizador NetFlow, puede haber alguna discrepancia en el tráfico de aplicaciones ' incompleto ' informado en el servidor NetFlow, versus lo que se reporta en la ficha ACC del firewall.

Detalles

En las sesiones TCP, el primer paquete de un protocolo de enlace TCP no tiene ningún dato de aplicación para realizar la coincidencia de patrones mediante firmas para identificar la aplicación. Por lo tanto, la caché de app-id se utiliza para identificar la aplicación en el primer paquete. Ayuda en reglas de reenvío basadas en políticas, en las que una decisión de enrutamiento debe basarse en el primer paquete de una sesión. En este caso, la decisión de enrutamiento se realiza antes de que se pueda identificar una aplicación, por lo que la caché de app-id proporciona un mecanismo para hacer un mejor cálculo de las decisiones de reenvío.

El cortafuegos intenta identificar la aplicación de la nueva sesión basándose en cualquier entrada cacheada coincidente asociada con la misma IP/puerto de destino. Cuando no se encuentra ninguna coincidencia, el cortafuegos considera la aplicación como ' none ', que se ve como ' incompleta ' en los registros de datos enviados al selector NetFlow.

Vea este ejemplo:

Una vez que el Firewall ve más intercambio de datos para esta sesión, identifica la aplicación basándose en firmas de coincidencia de patrones y envía un registro de datos actualizado para la sesión al selector NetFlow.

Algunos colectores NetFlow se adhieren a la primera identificación de la aplicación para una sesión y no hacen más cambios en el campo de aplicación de la sesión. Esto crea la discrepancia en la cantidad de tráfico de aplicación ' incompleto ' informado por el Firewall frente a lo que reporta el servidor NetFlow.

Propietario: apasupulati