如何设置帕洛阿尔托网络Firewall允许非 Syn 首包
313651
Created On 09/25/18 17:30 PM - Last Modified 06/08/23 02:09 AM
Environment
- 任何 PAN-OS
- 任何 Firewall
Resolution
概述
帕洛阿尔托网络firewall默认情况下,将拒绝第一个没有SYN作为安全措施打开标志。 普通的TCP连接以 3 次握手开始,这意味着如果第一个数据包被firewall不是SYN数据包,它可能不是一个有效的数据包并丢弃它。
在极少数情况下,可能需要在不进行此安全检查的情况下允许数据包通过。 非对称路由通常是需要禁用此功能的原因。
细节
- 要永久禁用该选项,请运行以下命令CLI命令:
> 配置
# 设置 deviceconfig 设置会话 tcp-reject-non-syn no
# 犯罪 - 使用以下命令重新打开该功能CLI命令:
> 配置
# 设置 deviceconfig 设置会话 tcp-reject-non-syn 是
# 犯罪 - 暂时允许非SYN TCP数据包,运行以下CLI命令(不在配置模式下):
>> 设置会话 tcp-reject-non-syn 否
笔记:此命令是临时的,将在导致提交或重新启动的提交或更改后重新打开。
- 此外,这些设置可以在GUI每个区域,区域保护如下所示:
- 转到网络 > 区域保护
- 点击添加
- 选择基于数据包的攻击保护>TCP /IP降低
- 要查看有关基于数据包的攻击保护的定义,请单击窗口右上角的帮助(“?”)链接。 一些重要的定义详述如下:
- 拒绝非SYN TCP- 确定是否拒绝该数据包,如果第一个数据包为TCP会话设置不是SYN包:
- 全局 - 使用通过分配的系统范围设置 CLI
- 是 - 拒绝非 -SYN TCP
- 否 - 接受非 -SYN TCP
笔记:允许非SYN TCP在阻止发生后未设置客户端和/或服务器连接的情况下,流量可能会阻止文件阻止策略按预期工作。
- 拒绝非SYN TCP- 确定是否拒绝该数据包,如果第一个数据包为TCP会话设置不是SYN包:
- 非对称路径 -D确定是否丢弃或绕过包含不同步 ACK 或窗口外序列号的数据包:
- global - 使用通过分配的系统范围设置 CLI
- drop - 丢弃包含非对称路径的数据包
- bypass - 绕过包含非对称路径的数据包扫描
- 非对称路径 -D确定是否丢弃或绕过包含不同步 ACK 或窗口外序列号的数据包:
- 通过转到网络 > 区域,将此区域保护配置文件应用于所需的接口/区域。 下面的示例显示无区域保护配置文件。
- 单击区域,例如“Untust1”,添加区域保护配置文件并从区域保护配置文件的下拉菜单中选择它,如下所示。
- 选择所需的区域保护配置文件后,单击OK. 下面的示例显示,带有区域保护配置文件“Recon-Protect-Alert”的“Untrust1”区域
拥有者:帕特尔