防火墙未检测到威胁流量

5159

Created On 09/13/24 08:58 AM - Last Modified 10/16/25 06:27 AM

Symptom

当测试威胁流量通过防火墙运行时，它不会将其检测为威胁。

如何生成测试威胁流量的示例：
如何检查漏洞模块是否正常工作
如何使用 Web 浏览器测试威胁防护

要判断防火墙是否将流量检测为威胁，我们可以查看会话详细信息的输出。

> show session id 21834
Session 21834
c2s flow：
source： 172.16.212.10 [L3-Trust]
dst： 18.206.19.26
proto： 6
sport： 64925 dport： 80
state： DISCARD type： FLOW
src user： unknown
dst user： unknown
s2c flow：
来源：18.206.19.26 [L3-Untrust]
dst：10.194.45.212
原型：6
运动：80 dport：1493
状态：DISCARD 类型：FLOW
src 用户：未知
dst 用户：未知
开始时间：2024
年 9 月 13 日星期五 16：33：43 超时：90 秒
生存时间： 81 秒
总字节数（C2S）： 3819
总字节数（S2C）： 66
Layer7 数据包数（C2S）： 10
Layer7 数据包数（S2C）： 1
VSYS ： VSYS1
应用程序： Web 浏览
规则： Trust-to-Untrust
服务超时覆盖（索引）：结束时要记录的 False
会话：会话 ager 中的 True
：HA 对等体更新的 True
会话：False
地址/端口转换：源 + 目标
nat-rule：Trust-NAT（vsys1）
第 7 层处理：已启用已完成
的 URL 过滤：False
通过 syn-cookies 的会话：在主机上终止的 False
会话： False
会话遍历隧道： False
会话终止隧道： False
强制网络门户会话： False
入口接口： ethernet1/6
出口接口： ethernet1/3
会话 QoS 规则： N/A（4 类）
跟踪器阶段防火墙：缓解 TDB 重置
结束原因：威胁

“结束原因”应表示为“威胁”。

Environment

PANOS-11.1.3、PA-850

Cause

流量未被检测为威胁的一个原因是，流量命中的安全策略未配置 配置文件 。

另一个原因可能是配置了与威胁流量匹配的 应用程序覆盖 策略。

如果已配置 应用程序覆盖 策略且未选中自定义应用程序扫描选项，则威胁引擎将在识别出自定义应用程序后立即停止检查流量。

Resolution

在安全策略中配置安全配置文件
确保威胁流量与应用程序覆盖 策略不匹配

Additional Information