Warum zeigen Sessions Anwendung "Unentschlossen" wenn im ACTIVE Zustand, aber haben eine App, wenn in DISCARD Zustand verschoben?
49803
Created On 03/30/19 02:33 AM - Last Modified 03/26/21 17:33 PM
Question
Warum wird die Anwendung in einigen Sitzungen als "unentschlossen" angezeigt, wenn sie sich in einem Zustand befinden, ACTIVE aber eine Anwendung nach dem Wechsel in den Zustand DISCARD anzeigen?
Environment
In bestimmten Fällen wird möglicherweise angezeigt, dass die Sitzungen als "unentschlossen" angezeigt werden, wenn der Sitzungsstatus ACTIVE ist. Dann werden sie später mit einem Anwendungsnamen angezeigt.
Hier ist ein Beispiel dafür, wenn sich die Sitzung in ACTIVE STATE der folgenden :
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: ACTIVE type: FLOW src user: unknown dst user: unknown Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : undecided <<<<<
Sobald die Sitzung in den Zustand verschoben DISCARD wurde:
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : web-browsing
Answer
In diesen Fällen müssen wir zuerst herausfinden, warum die Sitzung in den Ablagezustand übergegangen ist.
Wenn die Anwendung von der Sicherheitskontrolle blockiert policy wird, ist dies das erwartete Verhalten so lange. Da App- ID nicht in der Lage ist, die genaue Anwendung zu bestimmen, kann eine Sitzung als unentschieden zugelassen werden, bis die Anwendung identifiziert firewall wird, zu welchem Zeitpunkt die Sicherheitsregeln neu bewertet werden und eine geeignete Aktion ausgeführt wird, die darin bestehen könnte, die Sitzung zu verwerfen.
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 ****cut for brevity**** session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny end-reason : policy-deny
Eine weitere Ursache könnte Ressourcenkonflikte sein.
Wenn das System so besteuert wird, dass nicht genügend Ressourcen vorhanden sind, um die App- ID abzuschließen, führt die firewall ID App-Suche durch, die portbasierte Informationen verwendet, aber dies ist möglicherweise keine genaue Anwendung identifiziert.
Die "Tracker-Phase" firewall identifiziert, ob die Sitzung aufgrund von Ressourcenkonflikten beendet wurde.
> show session id 74569901
Session 74569901
c2s flow:
source: 10.1.1.1 [Internal_Clients]
dst: 192.168.1.1
proto: 6
sport: 28156 dport: 80
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 192.168.1.1 [Internal_Servers]
dst: 10.1.1.1
proto: 6
sport: 80 dport: 28156
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
Slot : 1
DP : 2
index(local): : 7461037
start time : Wed Jul 18 09:39:00 2018
****cut for brevity****
session QoS rule : N/A (class 4)
tracker stage firewall : resource limit <<<<<<<<<<<<
tracker stage l7proc : appid bypass