端口扫描报告显示所有 TCP 端口都已打开

66175

Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM

Symptom

尽管安全策略被配置为阻止所有 tcp 端口从不信任到信任区域, 但在从 Internet 运行端口扫描时, 报告显示所有 tcp 端口都处于打开状态。

防火墙配置了目标 NAT 和安全策略, 仅允许从 internet 向内部服务器提供 HTTP 和 HTTPS 连接, 但是当端口扫描从 internet 完成时, 端口扫描报告显示所有 TCP 端口都处于打开状态。

这些症状是由于在不信任/外部区域的区域保护配置文件中配置的 SYN Cookie 功能而触发的。当防火墙 recevies syn 数据包时, 如果 syn Cookie 功能被激活, 防火墙将发送一个 syn ack, 并在处理连接之前等待客户端的 ack, 这也涉及到检查安全策略。

请参考此文档, 了解有关 SYN Cookie 功能的详细信息:

任何基于 tcp SYN ACK 数据包确定端口状态的 tcp 端口扫描工具都会将所有 tcp 端口显示为打开的。

上面的 behvior 按预期工作, 为了避免这种情况, 您可以执行下列任一选项。

请按照以下步骤调整这些更改。在进行这些更改之前, 需要考虑网络安全问题。

转到 "网络" 选项卡 > 区域保护配置文件 >> 选择适当的区域保护配置文件 > 防洪保护。

doc-71843-2. png

从 SYN Cookie 改为随机早期丢弃:

>>配置

# 删除网络配置文件区域-保护-剖面不信任-区域洪水 tcp syn 合成-cookie

#提交

退出

要更改激活速率:

>>配置

#设置网络配置文件区域-保护-剖面不信任-区域洪水 tcp syn 合成-cookie 激活速率 "值"

#提交

退出