我对防火墙日志文件或服务器连接涉及的许多术语不是很熟悉。 这些线路涉及到一个外国未经授权的IP与防火墙(Cisco ASA 5520)进行数月的交互。 通常情况下,以下术语处理:FINs,故障转移主closures,SYN超时,FIN超时,拆卸TCP连接,拒绝tcp src? 而“build立入站/出站连接”实际上是指IP地址通过防火墙成功,或者说,它是整个“握手”阶段的连接的一部分(我怀疑后者,但我想成为安全)? 日志文件中的一些示例行是:
Teardown TCP connection for outside:* to webservers:* duration * TCP FINs Teardown TCP connection for outside:* to webservers:* duration * Failover primary close Teardown TCP connection for outside:* to filtering:* duration * SYN Timeout Built inbound TCP connection for outside:* to webservers:* Built outbound TCP connection for outside:* to filtering:* Built inbound TCP connection for outside:* to public:* Deny tcp src outside:* dst public:* by access-group "outside" Inbound TCP connection denied from * to * flags SYN on interface outside Teardown TCP connection for outside:* to public:* duration * FIN Timeout 如果有人能指引我正确的方向或提供任何帮助,我将非常感激。 我只是第一次find这个东西。 谢谢!
“你的问题应该有合理的范围,如果你能想象整本书能回答你的问题,那你就太多了。”
下面的信息可能会帮助你,但了解“为什么”,并有经验知道发生什么将是至关重要的,以确定交通是否合法。
这是一个连接相关的消息。 当TCP连接终止时,将logging此消息。 报告会话的持续时间和字节数。 如果连接需要身份validation,则会在消息的最后一个字段中报告用户名。
以下表示连接如何结束。 典型状态指标:
TCP FINs – 远程服务器断开连接(典型的HTTP或FTP连接)
TCP Reset-I – 客户端撕下连接(通常在SMTP或IMAP交换中)
TCP Reset-O – 当时服务器没有监听该协议(通常看起来是来自SMTP服务器)
- FIN超时 – 最后一次ACK等待15秒后强制终止
- SYN超时 – 两分钟后强制终止,等待三次握手完成
- 拒绝 – 由申请检查终止
- SYN控制 – 从反面启动反向通道
- Uauth Deny – 被URLfilter拒绝
- Xlate清除 – 删除命令行(pipe理员发送“清除xlate”命令时)
- 未知 – 上述指标都没有(但尚未终止)