なぜセッションは、状態が状態にあるときにアプリケーション「未決定」を表示 ACTIVE しますが、状態に移動したときにアプリを持 DISCARD っていますか?
49779
Created On 03/30/19 02:33 AM - Last Modified 03/26/21 17:33 PM
Question
状態にあるが、状態に移行した後にアプリケーションを表示する一部のセッションで、アプリケーションが "未決定" と表示されるの ACTIVE はなぜ DISCARD ですか。
Environment
セッション状態が の場合、セッションが "未決定" と表示される場合があります ACTIVE 。 その後、アプリケーション名が表示されます。
セッションが の場合の例を次に示 ACTIVE STATE します。
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: ACTIVE type: FLOW src user: unknown dst user: unknown Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : undecided <<<<<
セッションが状態に移行したら DISCARD 、
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : web-browsing
Answer
このような場合は、まずセッションが破棄状態になった理由を理解する必要があります。
アプリケーションがセキュリティ によってブロックされている場合 policy 、これは期待される動作です。 App- ID は正確なアプリケーションを特定できないため、セッションは、 firewall アプリケーションが識別されるまで未決定として許可され、その時点でセキュリティ規則が再評価され、セッションを破棄する適切なアクションが実行されます。
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 ****cut for brevity**** session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny end-reason : policy-deny
別の原因として、リソースの競合が考えられる。
システムが、レイヤ 7 検査を終了する前に App- を完了するのに十分なリソースが不足している点まで課税される場合 ID 、 firewall ID ポートベースの情報を使用する App-lookup が行われますが、これは正確なアプリケーションではない可能性があります。
"tracker ステージ firewall " は、リソースの競合によりセッションが終了したかどうかを識別します。
> show session id 74569901
Session 74569901
c2s flow:
source: 10.1.1.1 [Internal_Clients]
dst: 192.168.1.1
proto: 6
sport: 28156 dport: 80
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 192.168.1.1 [Internal_Servers]
dst: 10.1.1.1
proto: 6
sport: 80 dport: 28156
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
Slot : 1
DP : 2
index(local): : 7461037
start time : Wed Jul 18 09:39:00 2018
****cut for brevity****
session QoS rule : N/A (class 4)
tracker stage firewall : resource limit <<<<<<<<<<<<
tracker stage l7proc : appid bypass