Comment configurer les réseaux Firewall de Palo Alto pour autoriser le premier paquet non-syn
313681
Created On 09/25/18 17:30 PM - Last Modified 06/08/23 02:09 AM
Environment
- ANY PAN-OS
- ANY Firewall
Resolution
Aperçu
Palo Alto Networks firewall rejettera, par défaut, le premier paquet qui n’a pas le SYN drapeau allumé comme mesure de sécurité. Les connexions normales TCP commencent par une négociation à 3 voies, ce qui signifie que si le premier paquet vu par le n’est pas le paquet, il ne s’agit probablement pas d’un paquet valide et le firewall SYN rejette.
En de rares occasions, il peut être nécessaire autoriser les paquets à travers sans faire cette vérification de sécurité. Le routage asymétrique, c’est généralement pourquoi cette fonctionnalité doit être désactivée.
Détails
- Pour désactiver définitivement l’option, exécutez les commandes suivantes CLI :
> configurer
# set deviceconfig setting session tcp-reject-non-syn no #
commit
- Réactivez la fonctionnalité à l’aide des commandes suivantes CLI :
> configure
# set deviceconfig setting session tcp-reject-non-syn yes #
commit
- Pour autoriser temporairement les non-paquetsSYN TCP, exécutez la commande suivante CLI (pas en mode Configurer) : > définir la session tcp-reject-non-syn no
Remarque :
Cette commande est temporaire et se réactive après une validation ou une modification qui provoque une validation ou un redémarrage.
- En outre, ces paramètres peuvent être modifiés dans la GUI zone par zone, avec la protection de zone comme le montrent ci-dessous:
- Accédez au réseau > Zone de Protection
- Cliquez sur Ajouter
- Sélectionnez paquet basé sur la protection contre les > TCP / IP Drop
- Pour afficher les définitions sur la protection contre les attaques par paquets, cliquez sur l’aide ('? ') lien en haut à droite de la fenêtre. Quelques définitions importantes sont détaillées ci-dessous :
- Rejeter non- SYN TCP - Détermine s’il doit rejeter le paquet, si le premier paquet pour la configuration de TCP session n’est pas un SYN paquet:
- Global - Utiliser un paramètre à l’échelle du système qui est assigné par le biais de la CLI
- oui - Rejeter lesSYN TCP
- no - Accept non- Remarque : L’autorisation du non-traficSYN TCPSYN TCP
peut empêcher les stratégies de blocage de fichiers de fonctionner comme prévu dans les cas où la connexion client et/ou serveur n’est pas définie après le blocage.
- Rejeter non- SYN TCP - Détermine s’il doit rejeter le paquet, si le premier paquet pour la configuration de TCP session n’est pas un SYN paquet:
- Chemin asymétrique - Détermines s’il s’agit de déposer ou de contourner les paquets qui contiennent des AK désynchronisés ou des numéros de séquence hors fenêtre :
- global - Utiliser un paramètre large du système qui est assigné par le biais de la CLI
- Drop - rejeter les paquets qui contiennent un chemin d’accès asymétrique
- Bypass - ignore l’analyse sur les paquets qui contiennent un chemin d’accès asymétrique
- Chemin asymétrique - Détermines s’il s’agit de déposer ou de contourner les paquets qui contiennent des AK désynchronisés ou des numéros de séquence hors fenêtre :
- Appliquer cette protection Zone profil de la Zone d’Interface/voulue en accédant au réseau > Zones. L’exemple ci-dessous montre les profils de Protection Zone No.
- Cliquez sur la Zone, par exemple « Untust1, » d’ajouter le profil de Protection de Zone et sélectionnez-le dans la liste déroulante dans la Zone Protection Profile, comme indiqué ci-dessous.
- Une fois que le profil de protection de zone souhaité a été sélectionné, cliquez OK . L’exemple ci-dessous illustre, zone de « Untrust1 » avec le profil de Protection de Zone « Recon-protéger-alerte »
propriétaire : ppatel