Sitzung, die durch Sicherheitsüberprüfung verworfen wird policy
34375
Created On 02/28/19 19:54 PM - Last Modified 03/07/25 14:23 PM
Symptom
- Datenverkehr, der von der gelöscht firewall wurde, und Sie sehen keine Drop- oder Warnindikatoren, wenn Sie globale Leistungsindikatoren für bestimmte Quellen und Ziele ausführen
- Es wird Angezeigt, dass Pcaps absetzen, wenn Sie eine Paketerfassung für dieselbe Quelle und dasselbe Ziel
NOTE:
Informationen zum Ausführen globaler Leistungsindikatoren für bestimmte Quellen und Ziele finden Sie im folgenden Dokument
Environment
- PA Firewall Hardware / VM
- Software-Version : 7.x.x oder 8.x.x
Cause
Anwendungsverschiebung, aufgrund derer die policy Appid-Suche verweigert wird
Resolution
- Auf globalen Leistungsindikatoren können Sie den Zähler "session_discard - Sitzung durch policy Sicherheitsüberprüfung verwerfen" sehen
Beispiel:
PA-Lab> show counter global filter packet-filter yes delta yes Elapsed time since last sampling: 27.462 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_recv 2 0 info packet pktproc Packets received pkt_sent 1 0 info packet pktproc Packets transmitted session_allocated 1 0 info session resource Sessions allocated session_installed 1 0 info session resource Sessions installed session_discard 1 0 info session resource Session set to discard by security policy >>>>>>>>>>>Session discarded check flow_host_pkt_xmt 26 0 info flow mgmt Packets transmitted to control plane flow_host_vardata_rate_limit_ok 26 0 info flow mgmt Host vardata not sent: rate limit ok
- Überprüfen Sie für die Quelle und das Ziel, an dem das Verbindungsproblem besteht, nach Sitzungen, und gehen Sie in die Details dieser Sitzung ein.
Beispiel:
PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1 PA-lab> show session id 468169 Session 468169 c2s flow: source: 192.168.168.168 [L3-Trusted] dst: 1.1.1.1 proto: 6 sport: 63535 dport: 11067 state: DISCARD type: FLOW src user: fmi\khertzel dst user: unknown s2c flow: source: 1.1.1.1 [L3-Untrusted] dst: 192.168.168.168 proto: 6 sport: 11067 dport: 21643 state: DISCARD type: FLOW src user: unknown dst user: lab\test start time : Thu Feb 28 10:43:59 2019 timeout : 90 sec time to live : 83 sec total byte count(c2s) : 1156 total byte count(s2c) : 126 layer7 packet count(c2s) : 9 layer7 packet count(s2c) : 2 vsys : vsys1 application : mssql-db-base >>>>>>>>>>>>>Note the application that is identified in this session rule : interzone-default service timeout override(index) : False session to be logged at end : False session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound-PAT(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/1 session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny >>>>>>>>>>>>Note that the appid policy lookup is being denied end-reason : policy-deny
- Hinweis in der obigen Ausgabe, die policy Appid-Suche wird abgelehnt
- Dies weist darauf hin, dass eine Anwendungsverschiebung vorliegt, da, wenn die Sitzung verworfen wird
- Um herauszufinden, was die Anwendungsverschiebung ist, erstellen Sie eine ANY ANY Zulässigungssicherheit policy für die betreffende firewall Quell- und IP Zieladresse
- Testen der Verbindung und Überprüfen der Sitzungsdetails für dieselbe Quelle und dasselbe Ziel
Beispiel:
PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1 PA-Lab > show session id 717928 Session 717928 c2s flow: source: 192.168.168.168 [L3-Trusted] dst: 1.1.1.1 proto: 6 sport: 63759 dport: 11067 state: INIT type: FLOW src user: fmi\khertzel dst user: unknown s2c flow: source: 1.1.1.1 [L3-Untrusted] dst: 192.168.168.168 proto: 6 sport: 11067 dport: 7474 state: INIT type: FLOW src user: unknown dst user: lab\test start time : Thu Feb 28 11:01:15 2019 timeout : 15 sec total byte count(c2s) : 1452 total byte count(s2c) : 4750 layer7 packet count(c2s) : 10 layer7 packet count(s2c) : 9 vsys : vsys1 application : mssql-db-encrypted >>>>>Note the actual application that the should be allowed rule : MSSQL Test service timeout override(index) : False session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : source nat-rule : Outbound-PAT(vsys1) layer7 processing : completed URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/1 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd decoder bypass end-reason : tcp-fin
- Beachten Sie in der obigen Sitzungsausgabe, dass Application als " mssql-db-encrypted" identifiziert wird, wobei es wie in den vorherigen Sitzungsdetails " mssql-db-base" war.
- Erstellen Sie eine policy Sicherheit, um die richtige Anwendung zuzulassen, die das Verbindungsproblem beheben soll
Additional Information
#session_discard
#Session so eingestellt, dass sie durch Sicherheitsüberprüfung verworfen werden policy soll