> curl https://www.example.com/
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to www.example.com:443
> curl https://192.0.2.1/
curl: (7) Failed to connect to 192.0.2.1 port 443: Connection refused
Walkthrough voor Firewall Management Center
Stappen voor het maken van een aangepaste detectie met behulp van de API
Maak een nieuwe aangepaste detector aan op het VCC vanaf:
Policies > Application Detectors > Create Custom Detector .
- Definieer naam en beschrijving.
- Kies de toepassing in het keuzemenu.
- Selecteer het type geavanceerde detector.
- Upload het Lua-bestand onder Detectiecriteria. Sla de detector op en activeer deze.
Uitgeschakeld v/s opnieuw inspecteren
- De twee gebeurtenissen tonen het begin van de verbinding v/s het einde van de verbinding wanneer herinspectie is ingeschakeld.
Opmerking:
1. Aan het begin van de verbinding worden "HTTPS-, Webex- en Webex Teams" geïdentificeerd door de API. Aangezien herinspectie waar is, wordt de app-detectie voortgezet en worden appIds bijgewerkt naar ‘HTTPS, SSL-client en Gyazo Teams’.
2. Merk het aantal initiator- en antwoordpakketten op. Reguliere app detectiemethoden vereisen veel meer pakketten dan de API.
Problemen oplossen/diagnostiek
Overzicht van diagnoses
- Nieuwe logbestanden worden toegevoegd in de identificatie van de systeemondersteuningstoepassing om aan te geven of er toepassingen zijn gevonden met de 1e API voor pakketdetectie.
- De logboeken tonen ook als de gebruiker herinspectie van verkeer koos.
- De inhoud van het door de gebruiker geüploade lua-detectorbestand staat op de FTD onder
/var/sf/appid/custom/lua/<UUID> .
- Eventuele fouten in het lua-bestand worden op het moment dat de detector wordt geactiveerd in het FTD-bestand /var/log/message-bestand gedumpt.
CLI: applicatie-identificatie-debug voor systeemondersteuning
192.0.2.1 443 -> 192.168.1.16 51251 6 AS=4 ID=0 New AppId session
192.0.2.1 443 -> 192.168.1.16 51251 6 AS=4 ID=0 Host cache match found on first packet, service: HTTPS(1122), client: AOL(1419), payload: AOL(1419), reinspect: False
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 app event with client changed, service changed, payload changed, referred no change, misc no change, url no change, tls host no change, bits 0x1D
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 New firewall session
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 Starting with minimum 2, 'New-Rule-#1-MONITOR', and SrcZone first with zones 1 -> 1, geo 0(xff 0) -> 0, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, svc 1122, payload 1419, client 1419, misc 0, user 9999997, no url or host, no xff
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 match rule order 2, 'New-Rule-#1-MONITOR', action Audit
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 match rule order 3, 'New-Rule-#2-BLOCK_RESET', action Reset
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 MidRecovery data sent for rule id: 268437504, rule_action:5, rev id:3558448739, rule_match flag:0x1
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 Generating an SOF event with rule_id = 268437504 ruleAction = 5 ruleReason = 0
192.168.1.16 51251 -> 192.0.2.1 443 6 AS=4 ID=0 reset action
Locatie van AppID Lua Detectors Content
Om te bevestigen of de Lua Detector met deze nieuwe API bestaat op het apparaat/FTD kunt u kijken of de addHostFirstApp API wordt gebruikt in de 2 applicatiedetectormappen:
1. VDB AppID-detectoren -/var/sf/appid/odp/lua
2. Aangepaste detectoren -/var/sf/appid/custom/lua
Bijvoorbeeld:grep addHostFirstPktApp * in elke map.
Problemen met voorbeeld:
- Probleem: Aangepaste Lua-detector niet geactiveerd op FMC.
Te controleren locatie: /var/sf/appid/custom/lua/
Verwacht resultaat: er moet hier één bestand bestaan voor elke op het VCC geactiveerde aangepaste app-detector. Controleer of de inhoud overeenkomt met het geüploade bestand.
- Probleem: Het geüploade LoA-detectorbestand bevat fouten.
Te controleren bestand: /var/log/messages on FTD
Foutenlogboek:
Dec 18 14:17:49 intel-x86-64 SF-IMS[15741]: Error - appid: can not set env of Lua detector /ngfw/var/sf/appid/custom/lua/6698fbd6-7ede-11ed-972c-d12bade65dc9 : ...sf/appid/custom/lua/6698fbd6-7ede-11ed-972c-d12bade65dc9:37: attempt to index global 'gDetector' (a nil value)
Stappen voor probleemoplossing
Probleem: toepassingen niet correct geïdentificeerd voor verkeer dat naar het door de gebruiker gedefinieerde IP-adres en poort gaat.
Stappen voor probleemoplossing:
- Controleer of de lua-detector juist is gedefinieerd en op de FTD is geactiveerd.
- Controleer de inhoud van het lua-bestand op de FTD en controleer of er bij het activeren geen fouten worden gezien.
- Controleer de bestemming IP, poort en protocol van het eerste pakket in de verkeerssessie.
- Het kan overeenkomen met de waarden die in de lua-detector zijn gedefinieerd.
- Controleer of de systeem-ondersteuning-toepassing-identificatie-debug.
- Zoek de regel
Host cache match found on first packet. Als die ontbreekt, geeft het aan dat de API geen overeenkomst heeft gevonden.
Beperkingen Details, algemene problemen en werkbalken
In 7.4 is er geen gebruikersinterface om de API te gebruiken. UI-ondersteuning zou worden toegevoegd in toekomstige releases.
Revisiegeschiedenis
Herziening |
Publicatiedatum |
Opmerkingen |
1.0
|
18 jul.-2024
|
Eerste vrijgave
|