什么是"会话结束原因:威胁"?
171115
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM
Symptom
流量日志指示允许流量,但会话结束原因列指示"威胁"。
Environment
- 帕洛阿尔托网络 Firewall
- PAN-OS >= 8.0
Cause
安全策略具有操作和安全配置文件。
当安全 Policy 操作是"Deny"时,定义安全配置文件是毫无意义的,因为流量永远不会被检查,因为它被拒绝 policy 。
因此,当安全 Policy 行动是"允许的"时,将通过配置的安全配置文件检查流量。 如果其中一个威胁预防功能检测到威胁并颁布了一个阻止,这将导致流量日志进入,并允许(因为它由 policy 允许)和会话结束原因:威胁(因为威胁预防功能在最初允许和识别威胁后阻止了流量)。
Resolution
要确定哪个防威胁功能阻止了流量。
- 单击交通日志的放大镜图标,打开详细日志视图,该图标应位于交通日志条目最左侧。
- 查看下面板中的相关日志条目,以确定哪个威胁预防功能颁布了一个块。