> curl https://www.example.com/
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to www.example.com:443
> curl https://192.0.2.1/
curl: (7) Failed to connect to 192.0.2.1 port 443: Connection refused
Procedura dettagliata di Centro gestione firewall
Procedura per creare un rilevatore personalizzato utilizzando l'API
Crea un nuovo rilevatore personalizzato nel CCP da:
Policies > Application Detectors > Create Custom Detector .
- Definire nome e descrizione.
- Scegliere l'applicazione dal menu a discesa.
- Selezionare Advanced Detector Type.
- Caricare il file Lua in Criteri di rilevamento. Salvare e attivare il rilevatore.
Reinspect abilitato v/s disabilitato
- I due eventi mostrano l'inizio della connessione rispetto alla fine della connessione quando è abilitata la ripetizione del controllo.
Nota:
1. I "HTTPS, Webex e Webex Teams" sono identificati dall'API all'inizio della connessione. Poiché la nuova ispezione è vera, l'individuazione delle app continua e gli ID delle app vengono aggiornati a 'HTTPS, client SSL e team Gyazo'.
2. Si noti il numero di pacchetti dell'iniziatore e del risponditore. I metodi di rilevamento dell'app standard richiedono un numero di pacchetti molto maggiore rispetto all'API.
Risoluzione dei problemi/Diagnostica
Panoramica sulla diagnostica
- Nuovi log vengono aggiunti nel debug di identificazione dell'applicazione di supporto al sistema per indicare se sono presenti applicazioni individuate dalla prima API di rilevamento pacchetti.
- I log mostrano anche se l'utente ha scelto di eseguire nuovamente l'ispezione del traffico.
- Il contenuto del file di rilevamento lua caricato dall'utente è disponibile sul FTD sotto
/var/sf/appid/custom/lua/<UUID> .
- Eventuali errori nel file lua vengono scaricati sull'FTD nel file /var/log/messages al momento dell'attivazione del rilevatore.
CLI: supporto del sistema, identificazione applicazione-debug
192.0.2.1 443 -> 192.168.1.16 51251 6 AS=4 ID=0 New AppId session
192.0.2.1 443 -> 192.168.1.16 51251 6 AS=4 ID=0 Host cache match found on first packet, service: HTTPS(1122), client: AOL(1419), payload: AOL(1419), reinspect: False
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 app event with client changed, service changed, payload changed, referred no change, misc no change, url no change, tls host no change, bits 0x1D
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 New firewall session
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 Starting with minimum 2, 'New-Rule-#1-MONITOR', and SrcZone first with zones 1 -> 1, geo 0(xff 0) -> 0, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, svc 1122, payload 1419, client 1419, misc 0, user 9999997, no url or host, no xff
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 match rule order 2, 'New-Rule-#1-MONITOR', action Audit
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 match rule order 3, 'New-Rule-#2-BLOCK_RESET', action Reset
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 MidRecovery data sent for rule id: 268437504, rule_action:5, rev id:3558448739, rule_match flag:0x1
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 Generating an SOF event with rule_id = 268437504 ruleAction = 5 ruleReason = 0
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 reset action
Posizione del contenuto di AppID Lua Detectors
Per verificare se l'agente di rilevamento Lua con questa nuova API esiste sul dispositivo/FTD, è possibile verificare se l'API addHostFirstPktApp è in uso nelle 2 cartelle di rilevamento dell'applicazione:
1. Rilevatori AppID VDB -/var/sf/appid/odp/lua
2. Rilevatori personalizzati -/var/sf/appid/custom/lua
Ad esempio:grep addHostFirstPktApp * in ciascuna cartella.
Problemi di esempio:
- Problema: rilevatore Lua personalizzato non attivato sul CCP.
Percorso da controllare: /var/sf/appid/custom/lua/
Risultato previsto: in questo punto deve essere presente un file per ogni rilevatore di app personalizzato attivato nel FMC. Verificare che il contenuto corrisponda al file lua caricato.
- Problema: il file di rilevamento lua caricato contiene errori.
File da controllare: /var/log/messages on FTD
Registro errori:
Dec 18 14:17:49 intel-x86-64 SF-IMS[15741]: Error - appid: can not set env of Lua detector /ngfw/var/sf/appid/custom/lua/6698fbd6-7ede-11ed-972c-d12bade65dc9 : ...sf/appid/custom/lua/6698fbd6-7ede-11ed-972c-d12bade65dc9:37: attempt to index global 'gDetector' (a nil value)
Procedura di risoluzione dei problemi
Problema: applicazioni non identificate correttamente per il traffico diretto all'indirizzo IP e alla porta definiti dall'utente.
Passaggi per la risoluzione dei problemi:
- Verificare che il rilevatore lua sia correttamente definito e attivato sull'FTD.
- Verificare il contenuto del file lua sull'FTD e controllare che non siano rilevati errori durante l'attivazione.
- Controllare l'IP, la porta e il protocollo di destinazione del primo pacchetto nella sessione di traffico.
- Può corrispondere ai valori definiti nel rilevatore lua.
- Controllare system-support-application-identification-debug.
- Cercare la riga
Host cache match found on first packet. Se mancante, indica che non è stata trovata alcuna corrispondenza dall'API.
Dettagli su limitazioni, problemi comuni e soluzioni
Nella versione 7.4 non è disponibile un'interfaccia utente per l'utilizzo dell'API. Il supporto dell'interfaccia utente verrà aggiunto nelle versioni future.
Cronologia delle revisioni
Revisione |
Data di pubblicazione |
Commenti |
1.0
|
18 luglio 2024
|
Release iniziale
|