セキュリティチェックによって破棄するように設定されたセッション policy

34363

Created On 02/28/19 19:54 PM - Last Modified 03/07/25 14:23 PM

Symptom

によってドロップされたトラフィック firewall と、特定の送信元と宛先のグローバルカウンタを実行すると、ドロップカウンタや警告カウンタが表示されません。

同じ送信元と宛先のパケットキャプチャを実行すると、「Pcaps をドロップする」が表示されます。

NOTE:

特定の送信元と送信先のグローバルカウンタを実行する方法については、以下のドキュメントを参照してください。

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloNCAS

Environment

PA Firewall Hardware / VM
ソフトウェアバージョン: 7.x.xまたは8.x.x

Cause

どの appid ルックアップが拒否されたかによるアプリケーションシフト policy

Resolution

グローバルカウンタでは、カウンタ " session_discard - セキュリティチェックによって破棄するセッションセット " を表示できます policy 。

例:

PA-Lab> show counter global filter packet-filter yes delta yes
Elapsed time since last sampling: 27.462 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   2        0 info      packet    pktproc   Packets received

pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted

session_allocated                          1        0 info      session   resource  Sessions allocated

session_installed                          1        0 info      session   resource  Sessions installed

session_discard                            1        0 info      session   resource  Session set to discard by security policy  >>>>>>>>>>>Session discarded

check

flow_host_pkt_xmt                         26        0 info      flow      mgmt      Packets transmitted to control plane

flow_host_vardata_rate_limit_ok           26        0 info      flow      mgmt      Host vardata not sent: rate limit ok

接続の問題があるソースと宛先については、セッションを確認し、そのセッションの詳細を確認します。

例:

PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1
PA-lab> show session id 468169
Session          468169

        c2s flow:

                source:      192.168.168.168 [L3-Trusted]

                dst:         1.1.1.1

                proto:       6

                sport:       63535           dport:      11067

                state:       DISCARD         type:       FLOW

                src user:    fmi\khertzel

                dst user:    unknown



        s2c flow:

                source:      1.1.1.1 [L3-Untrusted]

                dst:         192.168.168.168

                proto:       6

                sport:       11067           dport:      21643

                state:       DISCARD         type:       FLOW

                src user:    unknown

                dst user:    lab\test


        start time                           : Thu Feb 28 10:43:59 2019

        timeout                              : 90 sec

        time to live                         : 83 sec

        total byte count(c2s)                : 1156

        total byte count(s2c)                : 126

        layer7 packet count(c2s)             : 9

        layer7 packet count(s2c)             : 2

        vsys                                 : vsys1

        application                          : mssql-db-base  >>>>>>>>>>>>>Note the application that is identified in this session

        rule                                 : interzone-default

        service timeout override(index)      : False

        session to be logged at end          : False

        session in session ager              : True

        session updated by HA peer           : False

        address/port translation             : source

        nat-rule                             : Outbound-PAT(vsys1)

        layer7 processing                    : enabled

        URL filtering enabled                : True

        URL category                         : any

        session via syn-cookies              : False

        session terminated on host           : False

        session traverses tunnel             : False

        captive portal session               : False

        ingress interface                    : ethernet1/2

        egress interface                     : ethernet1/1

        session QoS rule                     : N/A (class 4)

        tracker stage firewall               : appid policy lookup deny   >>>>>>>>>>>>Note that the appid policy lookup is being denied

        end-reason                           : policy-deny

上記の出力では、appid policy ルックアップが拒否されています
これは、セッションが破棄される場合にアプリケーションシフトがあることを示します。
アプリケーションのシフトを確認するには、 ANY ANY policy 問題の firewall 送信元アドレスと宛先アドレスので許可セキュリティ IP を作成します。
接続をテストし、同じ送信元と宛先のセッションの詳細を確認します。

例:

PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1
PA-Lab > show session id 717928
Session          717928

        c2s flow:

                source:      192.168.168.168 [L3-Trusted]

                dst:         1.1.1.1

                proto:       6

                sport:       63759           dport:      11067

                state:       INIT            type:       FLOW

                src user:    fmi\khertzel

                dst user:    unknown

        s2c flow:

                source:      1.1.1.1 [L3-Untrusted]

                dst:         192.168.168.168

                proto:       6

                sport:       11067           dport:      7474

                state:       INIT            type:       FLOW

                src user:    unknown

                dst user:    lab\test



        start time                           : Thu Feb 28 11:01:15 2019

        timeout                              : 15 sec

        total byte count(c2s)                : 1452

        total byte count(s2c)                : 4750

        layer7 packet count(c2s)             : 10

        layer7 packet count(s2c)             : 9

        vsys                                 : vsys1

        application                          : mssql-db-encrypted   >>>>>Note the actual application that the should be allowed

        rule                                 : MSSQL Test

        service timeout override(index)      : False

        session to be logged at end          : True

        session in session ager              : False

        session updated by HA peer           : False

        address/port translation             : source

        nat-rule                             : Outbound-PAT(vsys1)

        layer7 processing                    : completed

        URL filtering enabled                : True

        URL category                         : any

        session via syn-cookies              : False

        session terminated on host           : False

        session traverses tunnel             : False

        captive portal session               : False

        ingress interface                    : ethernet1/2

        egress interface                     : ethernet1/1

        session QoS rule                     : N/A (class 4)

        tracker stage firewall               : TCP FIN

        tracker stage l7proc                 : ctd decoder bypass

        end-reason                           : tcp-fin

上記のセッション出力では、アプリケーションは"mssql-db-encrypted" として識別され、前のセッションの詳細と同様に"mssql-db-base"であったことに注意してください。
policy接続の問題を解決する適切なアプリケーションを許可するセキュリティを作成します。

Additional Information

セキュリティチェックによって破棄するように設定された#session_discard#Session policy