有關事件的一般最佳實踐,請參閱 Server & Workload Security保護 中的事件。
要查看由Server & Workload Security保護捕獲的防火牆事件,請前往。
防火牆事件圖示:
單一事件
單一事件與資料防護
摺疊事件
摺疊事件與資料防護
 |
注意
|
防火牆事件顯示哪些資訊?
這些欄位可以顯示在防火牆事件頁面上。您可以點選欄位來選擇在表格中顯示哪些欄位。
- Time: 事件在電腦防護上發生的時間。
- Computer: 記錄此事件的電腦防護。(如果電腦防護已被移除,此項將顯示「未知電腦防護」。)
- Reason: 此頁面的日誌條目是由防火牆規則或防火牆有狀態配置設定生成的。如果條目是由防火牆規則生成的,則該欄位條目將以“防火牆規則:”開頭,後接防火牆規則的名稱。否則,該欄位條目將顯示生成日誌條目的防火牆有狀態配置設定。
- Tag(s): 應用於此事件的事件標籤。
- Action: 防火牆規則或防火牆有狀態配置所採取的中毒處理行動。可能的行動包括:允許、拒絕、強制允許和僅記錄。
- Rank: 排名系統提供了一種量化入侵防護和防火牆事件重要性的方法。通過為電腦分配「資產值」,並為入侵防護規則和防火牆規則分配「嚴重性值」,事件的重要性(「排名」)通過將這兩個值相乘來計算。這使您在查看入侵防護或防火牆事件時可以按排名排序事件。
- Direction: 受影響封包的方向(進入或外出)。
- Interface: 封包傳輸介面的 MAC 位址。
- Frame Type: 問題封包的框架類型。可能的值為 "IPV4"、"IPV6"、"ARP"、"REVARP" 和 "其他: XXXX",其中 XXXX 代表框架類型的四位十六進位代碼。
- Protocol: 可能的值為 "ICMP"、"ICMPV6"、"IGMP"、"GGP"、"TCP"、"PUP"、"UDP"、"IDP"、"ND"、"RAW"、"TCP+UDP" 和 "其他: nnn",其中 nnn 代表一個三位數的十進位值。
- Flags: 在封包中設定的標誌。
- Source IP: 封包的來源 IP。
- Source MAC: 封包的來源 MAC 位址。
- Source Port: 封包的來源通訊埠。
- Destination IP: 封包的目標 IP 位址。
- Destination MAC: 封包的目的地 MAC 位址。
- Destination Port: 封包的目標通訊埠。
- Packet Size: 封包的大小以位元組計算。
- Repeat Count: 事件連續重複的次數。
- Time (microseconds): 微秒解析度顯示事件發生在電腦防護上的時間。
- Event Origin: 事件來源的 Server & Workload Security保護 組件。
以下欄位也可用。它們顯示由代理版本 12 星期五 或更新版本保護的電腦上的容器觸發的事件資訊:
- Interface Type: 容器介面類型。
- Container Name: 事件發生的容器名稱。
- Container ID: 事件發生的容器 ID。
- Image Name: 用於創建發生事件的容器的映像名稱。
- RepoDigest: 一個識別容器映像的唯一摘要。
- Process Name: 引發事件的程序名稱(來自容器)。
|
注意Log-only 規則僅在相關封包未被 deny 規則或排除該封包的 allow 規則攔截時才會生成日誌條目。如果封包被這兩個規則之一攔截,這些 規則將生成日誌條目,而不是 log-only 規則。如果沒有後續規則攔截封包,僅記錄日誌的規則將生成條目。
|
所有防火牆事件列表
|
ID
|
事件
|
筆記
|
|
100
|
連線中斷
|
收到一個與現有連線無關的封包。
|
|
101
|
無效的標誌
|
封包中設定的旗標無效。此事件可能表示旗標在當前連線(如果有的話)的上下文中沒有意義,或者是旗標的組合不合邏輯。
連線上下文的評估必須將「防火牆有狀態配置」設為開啟。
|
|
102
|
無效的序列
|
遇到具有無效序列號或超出窗口資料大小的數據包。
|
|
103
|
無效的 ACK
|
遇到具有無效確認號碼的封包。
|
|
104
|
內部錯誤
|
|
|
105
|
CE 標誌
|
一個封包設置了擁塞標誌,且策略的反規避設置使用自訂配置,其中 TCP 擁塞標誌屬性設置為記錄或拒絕。(請參閱 配置反規避設置。)
|
|
106
|
無效的 IP
|
封包的來源 IP 無效。
|
|
107
|
無效的 IP 數據包長度
|
IP數據包的長度小於IP標頭中指定的長度。
|
|
108
|
Fragmented
|
遇到分段封包,且您的環境已設置 IP 封包檢查以拒絕接收分段封包。
|
|
109
|
無效的片段偏移
|
|
|
110
|
第一個片段太小
|
遇到一個分段封包,且第一個分段的大小小於 TCP 封包的大小(無資料防護)。
當封包標頭具有以下配置時,該事件會丟棄封包:
為防止此事件發生,請將策略的進階網路引擎設定中的最小片段大小屬性設置為較低的值,或設置為0以關閉此檢查。(請參閱 電腦防護和策略編輯器設定 中的「進階網路引擎選項」。)
|
|
111
|
片段超出範圍
|
在分段封包序列中指定的偏移量超出了資料包的最大大小範圍。
|
|
112
|
片段偏移量太小
|
遇到一個分段封包,該分段的大小小於 TCP 封包的大小(無資料防護)。
|
|
113
|
IPv6 封包
|
遇到 IPv6 封包,且已啟用 IPv6 封鎖。請參閱進階網路引擎選項中的 "在版本 9 及以後的代理和設備上封鎖 IPv6" 屬性 (請參閱 電腦防護和政策編輯器設定。)
|
|
114
|
最大傳入連線數
|
傳入連線數量已超過允許的最大連線數量。請參閱 TCP 封包檢查 中的 "啟用 TCP 狀態檢查" 屬性。
|
|
115
|
最大外連接數
|
外向連線數量已超過允許的最大連線數量。請參閱 TCP 封包檢查 中的 "啟用 TCP 狀態檢查" 屬性。
|
|
116
|
最大 SYN 發送
|
單一電腦的半開連接數量超過防火牆有狀態配置中指定的數量。請參閱 TCP 封包檢查 中的「限制單一電腦的半開連接數量」屬性。
|
|
118
|
IP 版本未知
|
遇到非 IPv4 或 IPv6 的 IP 封包。
|
|
119
|
無效的封包資訊
|
|
|
120
|
內部引擎錯誤
|
系統記憶體不足。請增加系統資源以解決此問題。
|
|
121
|
未經請求的 UDP
|
未經電腦防護請求的傳入 UDP 封包將被拒絕。
|
|
122
|
未經請求的 ICMP
|
ICMP 有狀態已啟動(在防火牆有狀態配置中),並且收到不符合任何強制允許規則的未請求封包。
|
|
123
|
超出允許的政策
|
該封包不符合任何允許或強制允許規則,因此被隱式拒絕。
|
|
124
|
無效的埠命令
|
在 FTP 控制通道資料流中遇到無效的 FTP 埠命令。
|
|
125
|
SYN Cookie 錯誤
|
SYN cookies 保護機制遇到錯誤。
|
|
126
|
無效的資料防護偏移
|
無效的資料偏移參數。
|
|
127
|
沒有 IP 標頭
|
封包的 IP 標頭無效或不完整。
|
|
128
|
無法讀取的乙太網路標頭
|
此乙太網路幀中的資料防護小於乙太網路標頭。
|
|
129
|
未定義
|
|
|
130
|
相同的來源 IP 和目標 IP
|
來源和目的地 IP 相同。
|
|
131
|
無效的 TCP 標頭長度
|
|
|
132
|
無法讀取的通訊協定標頭
|
封包包含無法讀取的 TCP、UDP 或 ICMP 標頭。
|
|
133
|
無法讀取的 IPv4 標頭
|
封包包含無法讀取的 IPv4 標頭。
|
|
134
|
未知的 IP 版本
|
無法識別的 IP 版本。
|
|
135
|
無效的網路介面卡配置
|
已收到無效的適配器配置。
|
|
136
|
重疊片段
|
此封包片段與先前傳送的片段重疊。
|
|
138
|
封閉連線上的封包
|
收到屬於已關閉連線的封包。
|
|
139
|
丟棄重傳
|
網路引擎檢測到一個 TCP 封包與同一 TCP 連線上已接收的資料重疊,但不匹配已接收的資料。(網路引擎將排隊在引擎連線緩衝區中的封包資料與重新傳輸的封包資料進行比較。)
網路引擎會重建它處理的每個 TCP 連線的序列資料流。接收的封包中的序列號和長度指定了此資料流中的特定區域。日誌中的註釋欄位指示 TCP 流中變更內容的位置資訊:prev-full、prev-part、next-full
和 next-part:
|
|
140
|
未定義
|
|
|
141
|
不符合允許的政策(開放端口)
|
|
|
142
|
新連線已啟動
|
|
|
143
|
無效的校驗和
|
|
|
144
|
使用了無效的掛鉤
|
|
|
145
|
IP 零負載
|
|
|
146
|
IPv6來源是多播
|
|
|
147
|
無效的 IPv6 位址
|
|
|
148
|
IPv6 碎片過小
|
|
|
149
|
無效的傳輸標頭長度
|
|
|
150
|
記憶體不足
|
|
|
151
|
最大 TCP 連線數
|
已超過最大 TCP 連線數。請參閱 增加允許的最大 TCP 連線數。
|
|
152
|
最大 UDP 連線數
|
|
|
200
|
區域過大
|
一個區域(編輯區域、URI 等)超過了允許的最大緩衝大小(7570 位元組)而未被關閉。這通常是因為資料不符合通訊協定。
|
|
201
|
記憶體不足
|
封包無法正常處理,因為資源已耗盡。這可能是因為太多並發連接需要緩衝(最多 2048)或同時匹配資源(最多 128),或者是因為單一 IP 封包中的匹配過多(最多 2048),或者僅僅是因為系統內存不足。
|
|
202
|
超過最大編輯次數
|
單個封包區域中的編輯次數(32 次)已超過上限。
|
|
203
|
編輯過大
|
嘗試編輯以增加區域大小超過允許的最大大小(8188 位元組)。
|
|
204
|
封包中的最大匹配數已超過
|
封包中有超過 2048 個位置出現模式匹配。達到此限制時會返回錯誤並中斷連線,因為這通常表示垃圾或規避封包。
|
|
205
|
引擎呼叫堆疊過深
|
|
|
206
|
執行時錯誤
|
執行時錯誤。
|
|
207
|
封包讀取錯誤
|
讀取封包資料時出現低層問題。
|
|
257
|
失敗開啟:拒絕
|
記錄應該丟棄的數據包,但在啟用故障開放功能且處於內聯模式時不記錄。
|
|
300
|
不支援的加密
|
已請求未知或不支援的加密套件。
|
|
301
|
生成主密鑰時出錯
|
無法從主密鑰推導出加密密鑰、Mac 秘密和初始化向量。
|
|
302
|
記錄層消息(未準備好)
|
SSL 狀態引擎在會話初始化之前遇到了 SSL 記錄。
|
|
303
|
握手訊息(未準備好)
|
SSL 狀態引擎在握手協商後遇到了握手消息。
|
|
304
|
握手訊息順序錯誤
|
遇到格式良好的握手訊息,但順序錯誤。
|
|
305
|
記憶體分配錯誤
|
封包無法正常處理,因為資源已耗盡。這可能是因為太多並發連接需要緩衝(最多 2048)或同時匹配資源(最多 128),或者是因為單一 IP 封包中的匹配過多(最多 2048),或者僅僅是因為系統內存不足。
|
|
306
|
不支援的 SSL 版本
|
客戶端嘗試協商 SSL V2 會話。
|
|
307
|
解密預主密鑰時出錯
|
無法從 ClientKeyExchange 訊息中解開 pre-master secret。
|
|
308
|
用戶端嘗試還原
|
客戶端嘗試還原到比ClientHello訊息中指定的SSL通訊協定更早的版本。
|
|
309
|
續訂錯誤
|
正在請求使用無法找到的快取會話金鑰的 SSL 會話。
|
|
310
|
密鑰交換錯誤
|
伺服器正在嘗試使用臨時生成的密鑰建立 SSL 會話。
|
|
311
|
超過最大 SSL 密鑰交換次數
|
已超過同時金鑰交換請求的最大數量。
|
|
312
|
金鑰過大
|
主密鑰大於通訊協定標識符指定的大小。
|
|
313
|
握手中的參數無效
|
在嘗試解碼握手通訊協定時遇到無效或不合理的值。
|
|
314
|
無可用的會話
|
|
|
315
|
壓縮方法不支援
|
|
|
316
|
不支援的應用層通訊協定
|
已請求未知或不支援的 SSL 應用層通訊協定。
|
|
385
|
失敗開啟:拒絕
|
記錄應該丟棄的封包,但在啟用故障開放功能且處於 Tap 模式時不記錄。
|
|
500
|
URI 路徑深度超出
|
"/" 分隔符過多。最大路徑深度為 100。
|
|
501
|
無效遍歷
|
嘗試使用 "../" 超出根目錄。
|
|
502
|
非法字元在 URI 中
|
非法字元用於 URI。
|
|
503
|
不完整的 UTF8 序列
|
URI 在 utf8 序列中間結束。
|
|
504
|
無效的 UTF8 編碼
|
無效或非標準編碼嘗試。
|
|
505
|
無效的十六進位編碼
|
%nn 其中 nn 不是十六進位數字。
|
|
506
|
URI 路徑長度過長
|
路徑長度超過 512 個字元。
|
|
507
|
字符使用無效
|
使用已停用的字元
|
|
508
|
雙重解碼漏洞
|
雙重解碼漏洞攻擊嘗試 (%25xx, %25%xxd 等)。
|
|
700
|
無效的 Base64 內容
|
預期應以Base64格式編碼的封包內容未正確編碼。
|
|
710
|
損壞的 Deflate/GZIP 內容
|
預期應以Base64格式編碼的封包內容未正確編碼。
|
|
711
|
不完整的 Deflate/GZIP 內容
|
不完整的 Deflate/GZIP 內容
|
|
712
|
Deflate/GZIP 校驗和錯誤
|
Deflate/GZIP 校驗和錯誤。
|
|
713
|
不支援的 Deflate/GZIP 字典
|
不支援的 Deflate/GZIP 字典。
|
|
714
|
不支援的 GZIP 標頭格式/方法
|
不支援的 GZIP 標頭格式或方法。
|
|
801
|
通訊協定解碼搜尋限制已超過
|
通訊協定解碼規則定義了搜尋或PDU物件的限制,但在達到限制之前未找到該物件。
|
|
802
|
通訊協定解碼限制錯誤
|
通訊協定解碼規則解碼了不符合通訊協定內容約束的資料。
|
|
803
|
通訊協定解碼引擎內部錯誤
|
|
|
804
|
通訊協定解碼結構過深
|
通訊協定解碼規則遇到了一個類型定義和封包內容,導致超過了最大類型嵌套深度(16)。
|
|
805
|
通訊協定解碼堆疊錯誤
|
一個規則編程錯誤試圖導致遞歸或使用過多的嵌套程序調用。
|
|
806
|
無限資料循環錯誤
|