Bedrohungsdatenverkehr, der von der Firewall nicht erkannt wird

Bedrohungsdatenverkehr, der von der Firewall nicht erkannt wird

5159
Created On 09/13/24 08:58 AM - Last Modified 10/16/25 06:27 AM


Symptom


Wenn Test-Bedrohungsdatenverkehr durch die Firewall geleitet wird, wird er nicht als Bedrohung erkannt.

Beispiele für das Generieren von Test-Bedrohungsdatenverkehr:
So überprüfen Sie, ob das Schwachstellenmodul ordnungsgemäß funktioniert
So testen Sie die Bedrohungsabwehr mit einem Webbrowser

Um festzustellen, ob die Firewall den Datenverkehr als Bedrohung erkennt, können wir uns die Ausgabe der Sitzungsdetails ansehen.

> show session id 21834
Session 21834
c2s flow: source:
172.16.212.10 [L3-Trust]
dst: 18.206.19.26
proto: 6
sport: 64925 dport: 80
                state: DISCARD type: FLOW
src user: unknown
dst user: unknown
s2c flow:
                source: 18.206.19.26 [L3-Untrust]
dst: 10.194.45.212
proto: 6
Sport: 80 dport: 1493
Zustand: DISCARD type: FLOW
src user: unknown
dst user: unknown
start time : Fri Sep 13 16:33:43 2024
timeout : 90 sec
        Gültigkeitsdauer : 81 Sekunden
Gesamtanzahl Bytes (C2S) : 3819
Gesamtanzahl Bytes (S2C) : 66
Layer7-Paketanzahl (C2S) : 10
Layer7-Paketanzahl (S2C) : 1
VSYS : VSYS1-Anwendung
        : Web-Browsing-Regel
        : Trust-to-Untrust
        Service Timeout Override(index) : Falsche
Sitzung, die am Ende protokolliert werden soll : Wahre
Sitzung in Sitzung ager : Wahre
Sitzung vom HA-Peer aktualisiert : Falsche
Adress-/Portübersetzung : Quelle + Ziel
nat-rule : Trust-NAT(vsys1)
layer7-Verarbeitung : abgeschlossene
URL-Filterung aktiviert : Falsch
        Sitzung über Syn-Cookies : Falsch
Sitzung auf Host beendet : Falsch
Sitzung durchläuft Tunnel : Falsch
Sitzung beendet Tunnel : Falsch
Captive Portal Sitzung : Falsch
Eingangsschnittstelle : Ethernet1/6
Ausgangsschnittstelle : Ethernet1/3
Sitzung QoS-Regel : N/A (Klasse 4)
        Tracker Stage Firewall : Mitigation TDB Reset
        End-Reason : Threat

Der "End-Reason" sollte als "Bedrohung" angegeben werden.
 

Environment


PANOS-11.1.3, PA-850

Cause


Ein Grund, warum der Datenverkehr nicht als Bedrohung erkannt wird, besteht darin, dass für die Sicherheitsrichtlinie, die vom Datenverkehr betroffen ist, keine Profile konfiguriert sind.

secpol1.png
secpol2.png

Ein weiterer Grund kann sein, dass eine Richtlinie für die Anwendungsüberschreibung konfiguriert wurde, die dem Bedrohungsdatenverkehr entspricht.

Wenn eine Richtlinie für die Anwendungsaußerkraftsetzung konfiguriert wurde und die Option für die Überprüfung benutzerdefinierter Anwendungen deaktiviert ist, beendet das Bedrohungsmodul die Überprüfung des Datenverkehrs, sobald die benutzerdefinierte Anwendung identifiziert wurde.

secpol3.png

 

Resolution


  • Sicherheitsprofile in der Sicherheitsrichtlinie konfiguriert haben
  • Stellen Sie sicher, dass der Bedrohungsdatenverkehr nicht mit einer Richtlinie für Anwendungsaußerkraftsetzung übereinstimmt

Additional Information


So überprüfen Sie, ob das Schwachstellenmodul ordnungsgemäß funktioniert
So testen Sie die Bedrohungsabwehr mit einem Webbrowser
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpA3CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language