パロアルトネットワークを設定する方法Firewall非 Syn ファースト パケットを許可する
313723
Created On 09/25/18 17:30 PM - Last Modified 06/08/23 02:09 AM
Environment
- どれでも PAN-OS
- どれでも Firewall
Resolution
概要
パロアルトネットワークスfirewallデフォルトでは、最初のパケットを拒否します。SYNフラグはセキュリティ対策としてオンになっています。 普通TCP接続は 3 ウェイ ハンドシェイクで始まります。firewallではないSYN有効なパケットではない可能性が高いため、破棄します。
まれに、このセキュリティ チェックを実行せずにパケットの通過を許可する必要がある場合があります。 通常、非対称ルーティングが原因で、この機能を無効にする必要があります。
詳細
- オプションを永続的に無効にするには、次を実行します。CLIコマンド:
> 構成する
# deviceconfig 設定セッションを設定する tcp-reject-non-syn no
# 専念 - 次のコマンドを使用して、機能を再びオンにしますCLIコマンド:
> 構成する
# deviceconfig 設定セッションの設定 tcp-reject-non-syn yes
# 専念 - 一時的に非許可にするにはSYN TCPパケット、次を実行しますCLIコマンド (構成モードではない):
> セッション tcp-reject-non-syn no を設定
ノート:このコマンドは一時的なものであり、コミットまたは再起動を引き起こすコミットまたは変更の後にオンに戻ります。
- さらに、これらの設定はGUIゾーンごとに、以下に示すようにゾーン保護を使用します。
- [ネットワーク] > [ゾーン保護] に移動します
- 追加をクリックします
- パケットベースの攻撃防御を選択 >TCP /IPドロップ
- パケット ベースの攻撃保護に関する定義を表示するには、ウィンドウの右上隅にあるヘルプ (「?」) リンクをクリックします。 いくつかの重要な定義を以下に詳しく説明します。
- 非拒否SYN TCP- 最初のパケットの場合、パケットを拒否するかどうかを決定します。TCPセッションのセットアップはSYNパケット:
- グローバル - を通じて割り当てられたシステム全体の設定を使用します。 CLI
- はい - 拒否するSYN TCP
- いいえ - 受け入れない -SYN TCP
ノート:非許可SYN TCPブロックが発生した後にクライアントやサーバーの接続が設定されていない場合、トラフィックによって、ファイル ブロック ポリシーが期待どおりに機能しなくなる可能性があります。
- 非拒否SYN TCP- 最初のパケットの場合、パケットを拒否するかどうかを決定します。TCPセッションのセットアップはSYNパケット:
- 非対称パス -D同期の取れていない ACK またはウィンドウの範囲外のシーケンス番号を含むパケットをドロップするかバイパスするかを決定します。
- グローバル - を通じて割り当てられたシステム全体の設定を使用します。 CLI
- drop - 非対称パスを含むパケットをドロップします
- bypass - 非対称パスを含むパケットのスキャンをバイパスします
- 非対称パス -D同期の取れていない ACK またはウィンドウの範囲外のシーケンス番号を含むパケットをドロップするかバイパスするかを決定します。
- [ネットワーク] > [ゾーン] に移動して、このゾーン保護プロファイルを必要なインターフェイス/ゾーンに適用します。 以下の例は、ゾーン保護プロファイルがないことを示しています。
- 「Untust1」などのゾーンをクリックしてゾーン保護プロファイルを追加し、以下に示すようにゾーン保護プロファイルのドロップダウン メニューから選択します。
- 目的のゾーン保護プロファイルを選択したら、OK . 以下の例は、ゾーン保護プロファイル「Recon-Protect-Alert」を持つ「Untrust1」ゾーンを示しています。
所有者: パテル