Firewall

新手,需要幫助解密防火牆日誌文件(Cisco ASA 5520)

  • June 7, 2013

我對防火牆日誌文件或伺服器連接中涉及的許多術語不是很熟悉。有問題的線路涉及在幾個月內與防火牆 (Cisco ASA 5520) 互動的外部、未經授權的 IP。以下術語通常處理什麼:FINs、Failover primary close、SYN Timeout、FIN Timeout、Teardown TCP connection、Deny tcp src?並且“內置入站/出站連接”實際上是否意味著 IP 地址成功通過防火牆,或者只是它是整個“握手”連接階段的一部分(我懷疑後者,但我想成為安全的)?日誌文件中的一些範例行將是:

Teardown TCP connection for outside:* to webservers:* duration * TCP FINs
Teardown TCP connection for outside:* to webservers:* duration * Failover primary close
Teardown TCP connection for outside:* to filtering:* duration * SYN Timeout
Built inbound TCP connection for outside:* to webservers:*
Built outbound TCP connection for outside:* to filtering:*
Built inbound TCP connection for outside:* to public:*
Deny tcp src outside:* dst public:* by access-group "outside"
Inbound TCP connection denied from * to * flags SYN on interface outside
Teardown TCP connection for outside:* to public:* duration * FIN Timeout

如果有人能指出我正確的方向或提供任何幫助,我將非常感激。我只是在尋找解決這件事的第一步。謝謝!

“你的問題應該有合理的範圍。如果你能想像一整本書可以回答你的問題,那你就問得太多了。”

以下資訊可能會對您有所幫助,但了解“原因”並了解正在發生的事情對於確定流量是否合法至關重要。

這是一條與連接相關的消息。當 TCP 連接終止時會記錄此消息。報告會話的持續時間和字節數。如果連接需要身份驗證,則在消息的最後一個欄位中報告使用者名。

下面顯示了連接是如何結束的。典型狀態指示燈:

  • TCP FINs - 遠端伺服器斷開連接(典型用於 HTTP 或 FTP 連接)
  • TCP Reset-I - 客戶端斷開連接(通常在 SMTP 或 IMAP 交換中)
  • TCP Reset-O - 伺服器當時沒有監聽該協議(通常被視為來自 SMTP 伺服器)
  • FIN 超時 - 等待最後一個 ACK 15 秒後強制終止
  • SYN Timeout - 在等待三次握手完成兩分鐘後強制終止
  • 拒絕 - 通過應用程序檢查終止
  • SYN 控制 - 從錯誤的一側啟動反向通道
  • Uauth Deny - 被 URL 過濾器拒絕
  • Xlate Clear - 命令行刪除(當管理員發送“clear xlate”命令時)
  • 未知 - 沒有上述指標(但尚未終止)

引用自:https://serverfault.com/questions/514226