我看到来自众多内部端点的stream量,RST或FIN / ACK由端点发送到Internet上的主机。 这些连接与不正确处理这些连接的透明代理有关。 而不是处理它们,它只是将它们转发给ASA。 ASA从来没有观察过这些连接。
ASA(8.2)看到这个stream量,并生成一个106015事件(无连接)并拒绝stream量。 这正是我所期望的。 但是,ASA还将logging一个106100事件,表明允许通信。 有一个ACE表示“允许ip任何日志”。
根据stream量捕获,确认stream量被拒绝,不允许。
为什么106100事件发生呢? 它完全抛出了我们的一个循环,因为看起来ASA已经允许stream量,实际上它没有。 如果ASA由于缺less现有连接而丢弃了stream量,为什么它会去ACL附近,更不用说生成许可证日志了?
这里是问题的日志:
: %ASA-6-106015: Deny TCP (no connection) from 10.xxx/62938 to 216.xxx/80 flags FIN ACK on interface inside : %ASA-6-106100: access-list inside permitted tcp inside/10.xxx(62938) -> outside/216.xxx(80) hit-cnt 1 first hit [0x62c4905, 0x0] 这两个事件的时间戳是相同的。
任何意见,将不胜感激,谢谢。
编辑:澄清
根据这个关于数据包stream的思科文章。 http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113396-asa-packet-flow-00.html
“如果数据包stream量与现有连接不匹配,则validationTCP状态,如果是SYN数据包或UDP数据包,则连接计数器加1,并发送数据包进行ACL检查;如果不是SYN数据包,数据包被丢弃,事件被logging。“
基于这种描述的行为,我仍然不确定为什么我看到106100日志表明交通是允许的。
在连接跟踪和NAT评估(检查模拟此stream量的packet-tracer的输出)之前,ACL正在被评估,并且由于stream量符合该规则,因此它按照您指示permit ip any any log 。