如何设置帕洛阿尔托网络Firewall允许非 Syn 首包

• 任何 PAN-OS
• 任何 Firewall

概述

帕洛阿尔托网络firewall默认情况下，将拒绝第一个没有SYN作为安全措施打开标志。 普通的TCP连接以 3 次握手开始，这意味着如果第一个数据包被firewall不是SYN数据包，它可能不是一个有效的数据包并丢弃它。

在极少数情况下，可能需要在不进行此安全检查的情况下允许数据包通过。 非对称路由通常是需要禁用此功能的原因。

细节

• 要永久禁用该选项，请运行以下命令CLI命令：
  > 配置
  # 设置 deviceconfig 设置会话 tcp-reject-non-syn no
  ＃ 犯罪
  
• 使用以下命令重新打开该功能CLI命令：
  > 配置
  # 设置 deviceconfig 设置会话 tcp-reject-non-syn 是
  ＃ 犯罪
  
• 暂时允许非SYN TCP数据包，运行以下CLI命令（不在配置模式下）：
  >> 设置会话 tcp-reject-non-syn 否
  笔记：此命令是临时的，将在导致提交或重新启动的提交或更改后重新打开。
   
• 此外，这些设置可以在GUI每个区域，区域保护如下所示：
  1. 转到网络 > 区域保护
  2. 点击添加
  3. 选择基于数据包的攻击保护>TCP /IP降低
     
• 要查看有关基于数据包的攻击保护的定义，请单击窗口右上角的帮助（“？”）链接。 一些重要的定义详述如下：
  • 拒绝非SYN TCP- 确定是否拒绝该数据包，如果第一个数据包为TCP会话设置不是SYN包：
    • 全局 - 使用通过分配的系统范围设置 CLI
    • 是 - 拒绝非 -SYN TCP
    • 否 - 接受非 -SYN TCP
      笔记：允许非SYN TCP在阻止发生后未设置客户端和/或服务器连接的情况下，流量可能会阻止文件阻止策略按预期工作。

• • 非对称路径 -D确定是否丢弃或绕过包含不同步 ACK 或窗口外序列号的数据包：
    • global - 使用通过分配的系统范围设置 CLI
    • drop - 丢弃包含非对称路径的数据包
    • bypass - 绕过包含非对称路径的数据包扫描

• 通过转到网络 > 区域，将此区域保护配置文件应用于所需的接口/区域。 下面的示例显示无区域保护配置文件。

• 单击区域，例如“Untust1”，添加区域保护配置文件并从区域保护配置文件的下拉菜单中选择它，如下所示。

• 选择所需的区域保护配置文件后，单击OK. 下面的示例显示，带有区域保护配置文件“Recon-Protect-Alert”的“Untrust1”区域

拥有者：帕特尔