ファイアウォールによって検出されない脅威トラフィック

5159

Created On 09/13/24 08:58 AM - Last Modified 10/16/25 06:27 AM

Symptom

テスト脅威トラフィックがファイアウォールを介して実行されている場合、脅威として検出されません。

テスト脅威トラフィックを生成する方法の例:
脆弱性モジュールが正しく機能しているかどうかを確認する方法Web
ブラウザを使用して脅威防止をテストする方法

ファイアウォールがトラフィックを脅威として検出しているかどうかを確認するには、セッションの詳細の出力を確認できます。

> show session id 21834
Session 21834
c2s flow:
source: 172.16.212.10 [L3-Trust]
dst: 18.206.19.26
proto: 6
sport: 64925 dport: 80
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
s2c flow:
ソース: 18.206.19.26 [L3-Untrust]
dst: 10.194.45.212
proto: 6
sport: 80 dport: 1493
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
start time : Fri Sep 13 16:33:43 2024
timeout : 90 sec
Time to Live : 81 秒
合計バイト数(C2S) : 3819
合計バイト数(S2C) : 66
Layer7 パケット数(C2S) : 10
Layer7 パケット数(S2C) : 1
vsys : vsys1
アプリケーション : Webブラウジング
ルール : Trust-to-Untrust
service timeout override(index) : 終了時にログに記録される偽
のセッション : セッションの真の
セッション ager : HAピアによって更新された真の
セッション : 偽
のアドレス/ポート変換 : 送信元 + 宛先
nat-rule : Trust-NAT(vsys1)
layer7 processing : 完了した
URL フィルタリングが有効 : False
syn-cookies 経由のセッション : ホスト上で終了したセッション
: トンネルを通過する :
トンネルを通過する : トンネルを通過させる : トンネルを終了させる :
トンネルを誤る : キャ
プティブポータルセッションを誤る : 入力インターフェイスを誤
る : ethernet1/6
出力インターフェイス : ethernet1/3
セッション QoS ルール : N/A (クラス 4)
トラッカーステージファイアウォール : 緩和 TDB リセット
終了理由 : 脅威

「終了理由」は「脅威」と記載する必要があります。

Environment

PANOS-11.1.3、PA-850

Cause

トラフィックが脅威として検出されない理由の 1 つは、トラフィックにヒットしているセキュリティポリシーにプロファイルが設定されていないことです。

別の理由として、脅威トラフィックに一致するアプリケーションオーバーライドポリシーが設定されていることが考えられます。

アプリケーションの上書きポリシーが設定されていて、カスタムアプリケーションのスキャンオプションがオフになっている場合、脅威エンジンはカスタムアプリケーションが特定されるとすぐにトラフィックの検査を停止します。

Resolution

セキュリティポリシーでセキュリティプロファイルが設定されている
脅威トラフィックがアプリケーションオーバーライド ポリシーと一致していないことを確認します

Additional Information