Sesión establecida para descartar por comprobación de seguridad policy
34375
Created On 02/28/19 19:54 PM - Last Modified 03/07/25 14:23 PM
Symptom
- El tráfico cae por el firewall y usted no ve ninguna caída o advertir a los contadores cuando se ejecutan contadores globales para la fuente y el destino específicos
- Usted ve los pcaps de la caída cuando usted hace una captura de paquetes para la misma fuente y destino
NOTE:
Sobre cómo ejecutar contadores globales para obtener información específica sobre el origen y el destino, consulte el documento siguiente
Environment
- PA Firewall Hardware / VM
- Versión de software : 7.x.x u 8.x.x
Cause
Cambio de aplicación debido a qué búsqueda appid policy se niega
Resolution
- En los contadores globales podrá ver el contador "session_discard - Sesión establecida para descartar por policy comprobación de seguridad"
Ejemplo:
PA-Lab> show counter global filter packet-filter yes delta yes Elapsed time since last sampling: 27.462 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_recv 2 0 info packet pktproc Packets received pkt_sent 1 0 info packet pktproc Packets transmitted session_allocated 1 0 info session resource Sessions allocated session_installed 1 0 info session resource Sessions installed session_discard 1 0 info session resource Session set to discard by security policy >>>>>>>>>>>Session discarded check flow_host_pkt_xmt 26 0 info flow mgmt Packets transmitted to control plane flow_host_vardata_rate_limit_ok 26 0 info flow mgmt Host vardata not sent: rate limit ok
- Para el origen y el destino que tiene el problema de conectividad, compruebe si hay sesiones y entre en los detalles de esa sesión
Ejemplo:
PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1 PA-lab> show session id 468169 Session 468169 c2s flow: source: 192.168.168.168 [L3-Trusted] dst: 1.1.1.1 proto: 6 sport: 63535 dport: 11067 state: DISCARD type: FLOW src user: fmi\khertzel dst user: unknown s2c flow: source: 1.1.1.1 [L3-Untrusted] dst: 192.168.168.168 proto: 6 sport: 11067 dport: 21643 state: DISCARD type: FLOW src user: unknown dst user: lab\test start time : Thu Feb 28 10:43:59 2019 timeout : 90 sec time to live : 83 sec total byte count(c2s) : 1156 total byte count(s2c) : 126 layer7 packet count(c2s) : 9 layer7 packet count(s2c) : 2 vsys : vsys1 application : mssql-db-base >>>>>>>>>>>>>Note the application that is identified in this session rule : interzone-default service timeout override(index) : False session to be logged at end : False session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound-PAT(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/1 session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny >>>>>>>>>>>>Note that the appid policy lookup is being denied end-reason : policy-deny
- Tenga en cuenta que en la salida anterior, la policy búsqueda appid está desmentida
- Esto indica que hay un cambio de aplicación porque si la sesión se está descartando
- Para averiguar cuál es el cambio de aplicación, cree una ANY ANY seguridad de permiso en la dirección de origen y destino en policy firewall IP cuestión
- Pruebe la conexión y compruebe los detalles de la sesión para obtener la misma fuente y destino
Ejemplo:
PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1 PA-Lab > show session id 717928 Session 717928 c2s flow: source: 192.168.168.168 [L3-Trusted] dst: 1.1.1.1 proto: 6 sport: 63759 dport: 11067 state: INIT type: FLOW src user: fmi\khertzel dst user: unknown s2c flow: source: 1.1.1.1 [L3-Untrusted] dst: 192.168.168.168 proto: 6 sport: 11067 dport: 7474 state: INIT type: FLOW src user: unknown dst user: lab\test start time : Thu Feb 28 11:01:15 2019 timeout : 15 sec total byte count(c2s) : 1452 total byte count(s2c) : 4750 layer7 packet count(c2s) : 10 layer7 packet count(s2c) : 9 vsys : vsys1 application : mssql-db-encrypted >>>>>Note the actual application that the should be allowed rule : MSSQL Test service timeout override(index) : False session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : source nat-rule : Outbound-PAT(vsys1) layer7 processing : completed URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/1 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd decoder bypass end-reason : tcp-fin
- En la salida de sesión anterior, tenga en cuenta que la aplicación se identifica como "mssql-db-encrypted" donde como en la sesión anterior detalles era "mssql-db-base"
- Cree una seguridad policy para permitir la aplicación correcta que debe resolver el problema de conexión
Additional Information
#session_discard #Session
a descartar por control de seguridad policy