我不太熟悉防火墙日志文件,也不太熟悉许多涉及服务器连接的术语。有问题的行涉及外部未经授权的 IP 与防火墙 (Cisco ASA 5520) 交互数月。以下术语通常与什么有关:FIN、故障转移主关闭、SYN 超时、FIN 超时、拆除 TCP 连接、拒绝 TCP 源?“内置入站/出站连接”是否实际上意味着 IP 地址已成功通过防火墙,或者只是它是整个连接“握手”阶段的一部分(我怀疑是后者,但我想保险一点)?日志文件中的一些示例行如下:
Teardown TCP connection for outside:* to webservers:* duration * TCP FINs
Teardown TCP connection for outside:* to webservers:* duration * Failover primary close
Teardown TCP connection for outside:* to filtering:* duration * SYN Timeout
Built inbound TCP connection for outside:* to webservers:*
Built outbound TCP connection for outside:* to filtering:*
Built inbound TCP connection for outside:* to public:*
Deny tcp src outside:* dst public:* by access-group "outside"
Inbound TCP connection denied from * to * flags SYN on interface outside
Teardown TCP connection for outside:* to public:* duration * FIN Timeout
如果有人能给我指明正确的方向或提供任何帮助,我将不胜感激。我只是在寻找解决这个问题的第一步。谢谢!
答案1
“你的问题应该合理。如果你能想象出一整本书来回答你的问题,那你的要求就太多了。”
下面的信息可能会对您有所帮助,但理解“为什么”并了解正在发生的事情对于确定流量是否合法至关重要。
这是与连接相关的消息。当 TCP 连接终止时,将记录此消息。将报告会话的持续时间和字节数。如果连接需要身份验证,则将在消息的最后一个字段中报告用户名。
以下指示连接如何结束。典型的状态指示符:
TCP FIN - 远程服务器断开连接(HTTP 或 FTP 连接的典型情况)
TCP Reset-I - 客户端断开连接(在 SMTP 或 IMAP 交换中很常见)
TCP Reset-O - 服务器当时未监听该协议(通常被视为来自 SMTP 服务器)
- FIN 超时 - 等待最后一个 ACK 15 秒后强制终止
- SYN 超时 - 等待三次握手完成两分钟后强制终止
- 拒绝 - 通过应用程序检查终止
- SYN 控制 - 从错误方启动反向通道
- Uauth Deny - 被 URL 过滤器拒绝
- Xlate Clear - 命令行删除(当管理员发送“clear xlate”命令时)
- 未知 - 以上指标均不符合(但已终止)