So stellen Sie die Palo Alto-Netzwerke Firewall so ein, dass sie ein Nicht-Syn-First-Paket zulassen

So stellen Sie die Palo Alto-Netzwerke Firewall so ein, dass sie ein Nicht-Syn-First-Paket zulassen

313757
Created On 09/25/18 17:30 PM - Last Modified 06/08/23 02:09 AM


Environment


  • Any PAN-OS
  • Any Firewall

Resolution


Übersicht

Palo Alto Networks firewall lehnt standardmäßig das erste Paket ab, bei dem das Flag nicht als SYN Sicherheitsmaßnahme aktiviert ist. Normale Verbindungen TCP beginnen mit einem 3-Wege-Handshake, was bedeutet, wenn das erste Paket, das von der firewall gesehen wird, nicht das SYN Paket ist, ist es wahrscheinlich kein gültiges Paket und verwirft es.

 

Es kann in seltenen Fällen erforderlich, damit Pakete durch, ohne diese Sicherheits-Check zu tun. Asymmetrisches routing ist in der Regel, warum diese Funktion muss deaktiviert werden.

 

Details

  • Führen Sie die folgenden CLI Befehle aus, um die Option dauerhaft zu deaktivieren:
    > configure
    # set deviceconfig setting session tcp-reject-non-syn no #
    commit
     
  • Aktivieren Sie die Funktion mithilfe der folgenden CLI Befehle wieder:
    > configure
    # set deviceconfig setting session tcp-reject-non-syn yes #
    commit
     
  • Um Nicht-PaketeSYN TCP vorübergehend zuzulassen, führen Sie den folgenden CLI Befehl aus (nicht im Konfigurationsmodus):
    > set session tcp-reject-non-syn no
    Hinweis: Dieser Befehl ist temporär und wird nach einem Commit oder einer Änderung, die einen Commit oder Neustart verursacht, wieder aktiviert.
     
  • Darüber hinaus können diese Einstellungen in der Zone pro Zone geändert GUI werden, wobei Zone Protection wie unten angezeigt wird:
    1. Gehen Sie zu Netzwerk > Zone Schutz
    2. Klicken Sie auf Hinzufügen
    3. Wählen Sie Paketbasierter Angriffsschutz > TCP / IP Drop
      Zone TCP . PNG . Png
  • Definitionen auf paketbasierte Angriffsschutz anzuzeigen, klicken Sie auf Hilfe ("?") Link in der oberen rechten Ecke des Fensters. Einige wichtigen Definitionen sind nachfolgend aufgeführt:
    • Ablehnen Nicht- SYN TCP - Legt fest, ob das Paket abgelehnt werden soll, wenn das erste Paket für die TCP Sitzungseinrichtung kein SYN Paket ist:
      • Global - Verwenden Sie die systemweite Einstellung, die über die CLI
      • ja - Ablehnen vonSYN TCP
      • no - Accept non- Hinweis: Das Zulassen von Nicht-Datenverkehr kann verhindern, dass Dateiblockierungsrichtlinien wie erwartet funktionieren, wenn die Client-SYN TCPSYN TCP
        und/oder Serververbindung nach der Blockierung nicht eingerichtet wird.

 

    • Asymmetrischer Pfad - Determine, ob Pakete, die nicht synchronisierte ACKs oder Auszeitreihennummern enthalten, fallen oder umgehen:
      • global - Verwenden Sie eine systemweite Einstellung, die über die CLI
      • Drop - Pakete verwerfen, die einen asymmetrischen Pfad enthalten
      • Bypass - Bypass-Messung an Paketen, die einen asymmetrischen Pfad enthalten

 

  • Diese Schutzzone Profil zuweisen wollte, indem Sie auf Netzwerk-Schnittstelle/Zone > Zonen. Das folgende Beispiel zeigt keine Zone Protection Profiles.

Zonen. PNG . Png

  • Klicken Sie auf die Zone, zum Beispiel "Untust1," das Schutzprofil Zone hinzufügen und wählen sie aus dem Drop-down-Menü in der Zone-Schutzprofil, wie unten dargestellt.

Zone. PNG . Png

  • Sobald das gewünschte Zonenschutzprofil ausgewählt wurde, klicken Sie auf OK . Das folgende Beispiel zeigt, "Untrust1" Zone mit der Zone-Schutzprofil "Recon-Schutz-Alarm"

Zone Enable. PNG . Png

 

Besitzer: Ppatel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClG2CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language