Netflow 数据中关于 "不完全" 应用流量的差异

问题

在使用 Netflow 分析器监视帕洛阿尔托网络防火墙带宽和网络通信量时, Netflow 服务器上报告的 "不完整" 应用程序通信量可能存在某些差异, 而与在防火墙的 ACC 选项卡上报告的是什么不一致。

详细

对于 tcp 会话, tcp 握手中的第一个数据包没有任何应用程序数据可以使用签名来标识应用程序来执行模式匹配。因此, 应用程序 ID 缓存用于在第一个数据包中标识应用程序。它有助于基于策略的转发规则, 其中路由决策需要基于会话的第一个包。在这种情况下, 路由决策是在可以识别应用程序之前进行的, 因此应用程序 ID 缓存提供了一种机制来为转发决策做出最佳估计。

防火墙尝试根据与同一目标 IP/端口关联的任何匹配的缓存项来标识新会话的应用程序。当找不到匹配项时, 防火墙将应用程序视为 "无", 这在发送到 Netflow 收集器的数据记录中被视为 "不完整"。

请参见以下示例:

一旦防火墙看到此会话的进一步数据交换, 它将根据模式匹配签名标识应用程序, 并向 Netflow 收集器发送会话的更新数据记录。

某些 Netflow 收集器坚持会话应用程序的第一个标识, 并且不会在会话的应用程序字段中进行进一步的更改。这将导致防火墙报告的 "不完整" 应用程序通信量与 netflow 服务器报告的内容之间的差异。

所有者： apasupulati