我看到來自許多內部端點的流量,其中端點將 RST 或 FIN/ACK 傳送到 Internet 上的主機。這些連接與未正確處理這些連接的透明代理相關。它不會處理它們,而是將它們轉發給 ASA。 ASA 以前從未觀察到這些連結。
ASA (8.2) 看到此流量並產生 106015 事件(無連線)並拒絕該流量。這正是我所期望的。但是,ASA 還將記錄一個 106100 事件,表明流量是允許的。有一個 ACE 聲明“允許 ip 任何日誌”。
根據流量捕獲,確認流量被拒絕且不允許。
那為什麼會發生106100事件呢?這完全讓我們陷入了困境,因為 ASA 似乎允許流量,但實際上卻沒有。如果 ASA 由於缺乏現有連線而丟棄流量,為什麼它會到達 ACL 附近的任何位置,更不用說產生許可日誌了?
以下是問題中的日誌:
: %ASA-6-106015: Deny TCP (no connection) from 10.x.x.x/62938 to 216.x.x.x/80 flags FIN ACK on interface inside
: %ASA-6-106100: access-list inside permitted tcp inside/10.x.x.x(62938) -> outside/216.x.x.x(80) hit-cnt 1 first hit [0x62c4905, 0x0]
兩個事件的時間戳記是相同的。
任何建議將不勝感激,謝謝。
編輯:澄清
根據這篇關於資料包流的思科文章。
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- Generation-firewalls/113396-asa-packet-flow-00.html
「如果封包流與現有連線不匹配,則驗證 TCP 狀態。如果它是 SYN 封包或 UDP 封包,則連線計數器加一,並傳送封包進行 ACL 檢查。如果不是SYN 封包,封包被丟棄並記錄事件。
根據所描述的行為,我仍然不確定為什麼我會看到 106100 日誌指示流量被允許。
答案1
ACL 在連接追蹤和 NAT 評估之前進行評估(檢查packet-tracer模擬此流量的輸出),並且由於流量符合該規則,因此它會按照您在 中的指示進行記錄permit ip any any log。
答案2
這是預期的行為:
當存取清單行具有 log 參數時,預計可能會因非同步資料包到達 ASA 並由存取清單評估而觸發此訊息 ID。例如,如果 ASA 上收到 ACK 封包(連線表中不存在 TCP 連線),則 ASA 可能會產生訊息 106100,指示該封包已被允許;但是,由於沒有匹配的連接,該資料包隨後被正確丟棄。