为什么会话显示应用程序"未决定"当在 ACTIVE 状态中,但有一个应用程序时移动到 DISCARD 状态?
49793
Created On 03/30/19 02:33 AM - Last Modified 03/26/21 17:32 PM
Question
为什么有些会话在应用程序处于状态时显示为"未决定", ACTIVE 但在移动到状态后显示应用程序 DISCARD ?
Environment
在某些情况下,您可能会看到会话在会话状态时显示为"尚未决定 ACTIVE "。 然后,他们后来出现一个应用程序名称。
以下是会话在 ACTIVE STATE :
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: ACTIVE type: FLOW src user: unknown dst user: unknown Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : undecided <<<<<
会话进入 DISCARD 状态后:
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : web-browsing
Answer
在这些情况下,我们需要首先找出为什么会话进入丢弃状态。
如果应用程序被安全性阻止 policy ,则预期行为会持续很长时间。 由于 App- ID 无法确定确切的应用程序,因此在 firewall 确定应用程序之前,可以允许通过尚未决定的会话,此时重新评估安全规则并采取适当行动,从而可能放弃会话。
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 ****cut for brevity**** session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny end-reason : policy-deny
另一个原因可能是资源争夺。
当系统被征税到没有足够的资源来完成应用程序 ID -,在结束第7层检查之前, firewall 做一个应用程序 ID 查找,它使用基于端口的信息,但这可能不是一个准确的应用程序识别。
"跟踪阶段 firewall "将确定会话是否因资源争夺而结束。
> show session id 74569901
Session 74569901
c2s flow:
source: 10.1.1.1 [Internal_Clients]
dst: 192.168.1.1
proto: 6
sport: 28156 dport: 80
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 192.168.1.1 [Internal_Servers]
dst: 10.1.1.1
proto: 6
sport: 80 dport: 28156
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
Slot : 1
DP : 2
index(local): : 7461037
start time : Wed Jul 18 09:39:00 2018
****cut for brevity****
session QoS rule : N/A (class 4)
tracker stage firewall : resource limit <<<<<<<<<<<<
tracker stage l7proc : appid bypass