DotW: 基于接口或区域的非对称路由和 TCP syn 检查？

上周, 社区成员ghostrider发布了一个关于不对称路由的有趣问题. 社区成员licenselu和pulukas都提供了一个不同的解决方案, 我们将在下面突出说明:

正如 ghostrider 指出的那样, 当传出数据包输出接口 eth1/1 并在接口 eth1/2 上返回数据包时, 就会发生一种称为不对称路由的现象。帕洛阿尔托网络防火墙已内置检查, 以确保数据包遵循逻辑事件序列。一种期望是, 数据包保持使用相同的接口, 因为来自不同接口的数据包可能是恶意源试图在活动会话中插入数据包的尝试。如果出现意外的不对称, 则应丢弃数据包。

如果您验证设备的全局计数器, 您可以很容易地识别这些类型的数据包, 如果您看到这些计数器:

>> 显示计数器全局筛选器三角洲是 

然后搜索结果或使用 "|匹配 "这些计数器的筛选器

tcp_drop_out_of_wnd 已丢弃的窗口外数据包
tcp_out_of_sync 无法继续进行 tcp 重组, 因为它不同步
flow_tcp_non_syn 非 syn tcp 数据包, 但没有会话匹配
flow_tcp_non_syn_drop 丢弃的数据包: 非 syn tcp 没有会话匹配 

licenselu指出, 可以通过接口区域上的区域保护配置文件禁用该检查.

此方法的优点是, 可以在不同区域中同时具有两个接口, 如果需要, 可以在安全配置文件中应用更多的粒度。缺点是低级别会话的健全检查将被禁用, 这可能会带来影响。

社区成员pulukas根据操作系统处理数据包和管理流的方式提出了第二个变通办法: 防火墙是基于区域的, 这意味着对于在会话创建和后续数据包期间收到的所有数据包, 源在移动到与现有会话匹配的下一个步骤之前, 将发生区域查找. 因此, 如果两个接口都放置在同一区域中, 它们将被视为相同的区域, 不对称将不会应用在同一区域内。这样, 不对称保护不需要被禁用。

有关PAN OS 中数据包流序列 的详细信息, 请查阅本文。

很感谢licenselu和pulukas帮助其他社区成员与圣人建议!

收割者