Cómo configurar las redes de Palo Alto Firewall para permitir el primer paquete que no sea SYN

• UnaNY PAN-OS
• UnaNY Firewall

Visión general

Palo Alto firewall Networks, de forma predeterminada, rechazará el primer paquete que no tenga el SYN indicador encendido como medida de seguridad. Las conexiones normales TCP comienzan con un protocolo de enlace de 3 vías, lo que significa que si el primer paquete visto por el no es el firewall SYN paquete, es probable que no sea un paquete válido y lo descarte.

En raras ocasiones, puede ser necesario permitir paquetes sin hacer esta comprobación de seguridad. Enrutamiento asimétrico suele ser por qué esta función debe desactivarse.

Detalles

• Para deshabilitar la opción de forma permanente, ejecute los siguientes CLI comandos:
  > configure
  # set deviceconfig setting session tcp-reject-non-syn no #
  commit
   
• Vuelva a activar la característica mediante los siguientes CLI comandos:
  > configure
  # set deviceconfig setting session tcp-reject-non-syn yes #
  commit
   
• Para permitir temporalmente los paquetes que no sonSYN TCP paquetes, ejecute el siguiente CLI comando (no en modo Configurar):
  > establecer sesión tcp-reject-non-syn no
  Nota: Este comando es temporal y se volverá a activar después de una confirmación o cambio que provoque una confirmación o reinicio.
   
• Además, estos ajustes se pueden cambiar en la GUI zona por, con la protección de zona como se muestra a continuación:
  1. Ir a red > protección de la zona
  2. Haga clic en Agregar
  3. Seleccione Protección contra ataques basada en paquetes > TCP / IP Soltar
     
• Para ver definiciones de protección de ataque basado en paquetes, haga clic en la ayuda ('? ') enlace en la esquina superior derecha de la ventana. A continuación se detallan algunas definiciones importantes:
  • Rechazar no- SYN TCP - Determina si rechazar el paquete, si el primer paquete para la configuración de la sesión no es un TCP SYN paquete:
    • Global: utilice la configuración de todo el sistema que se asigna a través de la CLI
    • Sí - Rechazar no-SYN TCP
    • no - Aceptar no-SYN TCP
      Nota: Permitir el no tráfico puede impedir que las políticas de bloqueo de archivos funcionen como se espera en los casos en que la conexión de cliente y/o servidor no se establece después de que se produce elSYN TCP bloqueo.

• • Trayectoria asimétrica - Ddetermina si caer o omitir paquetes que contienen ACL fuera de sincronización o fuera de los números de secuencia de ventana:
    • global - Utilice la configuración de todo el sistema que se asigna a través de la CLI
    • la gota - paquetes que contienen un trazado asimétrico
    • derivación - derivación exploración en paquetes que contienen un trazado asimétrico

• Esta protección de zona perfil se aplican a la interfaz/zona querida dirigiéndose a red > zonas. El siguiente ejemplo muestra perfiles de protección de zona No.

• Haga clic en la zona, por ejemplo "Untust1," para agregar el perfil de protección de la zona y seleccione en el desplegable del menú en el perfil de protección de la zona como se muestra a continuación.

• Una vez seleccionado el perfil de protección de zona deseado, haga clic en OK . El siguiente ejemplo muestra, zona de "Untrust1" con el perfil de protección de la zona "Recon-proteger-alerta"

Propietario: ppatel