如何保留 TCP URG 标志和指针

详细

在可用的 rfc 中, URG 标志和指针的实现没有很好的定义, 一些操作系统容易受到攻击, 这些字段会利用 TCP 报头中的这些域。帕洛阿尔托网络防火墙将默认清除 URG 标志和指针。  下面显示了几个文档, 其中列出了与 TCP URG 标志和指针相关的几个安全问题:

• http://www.gont.com.ar/drafts/tcp-security/draft-gont-tcp-security-00.txt (3.9.  紧急指针)
• http://tools.ietf.org/html/draft-ietf-tcpm-urgent-data-07#appendix-A
• http://tools.ietf.org/html/draft-ietf-tcpm-tcp-security-02#section-3.5.4"

要更改防火墙的行为, 使其保留 TCP URG 标志和指针, CLI 命令是 (从配置模式):

# 设置 deviceconfig 设置 tcp 紧急数据 oobinline

# 提交

提交后验证字段 "紧急数据" 已从 "清除" 更改为 "oobinline"。请参阅下面的图像:

"显示" 命令是 (从操作模式):

>> 显示运行的 tcp 状态

如果紧急数据选项设置为 "清除", 防火墙将清除 TCP URG 标志和指针。

所有者： ncampagna