防火墙日志中如何表示长 RDP 会话?

网络工程 日志记录 偏僻的
2022-02-16 04:57:20

示例情况:用户通过 RDP、port 连接到服务器3389,并在服务器上工作 4 小时。她没有断开连接,从她的角度来看,连接在整个 4 小时内不间断。

我的问题:source port, user's IP, destination port [3389], destination IP [the server]此连接是否会由防火墙日志中的 1 个防火墙事件表示?还是连接会定期更新,但对用户是透明的,因此会在固件日志中观察到几个连接事件?

这是由 RDP 协议的工作方式决定的,还是取决于实现,因此这两种结果都可能是真实的,具体取决于实现?

1个回答

在正常情况下,这将由单个流条目表示,前提是您的防火墙仅在流开始时记录一个条目,并且不记录同一流的定期更新。

现在 - 如果用户空闲了 4 个小时,例如:没有流量通过 RDP 会话,那么大多数防火墙会老化会话,并要求用户重新连接,从而创建第二个流条目。

类似地,RDP 是一个相当有弹性的协议,在某些实现中可能会重新建立失败的连接。

这是一个 RDP 实现,与防火墙无关

其它你可能感兴趣的问题
上一篇Tracert 在第二个数据包上持续超时 下一篇使用 VLAN 和 netwgear 第 2 层交换机隔离 NAS