Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
端口扫描报告显示所有 TCP 端口都已打开 - Knowledge Base - Palo Alto Networks

端口扫描报告显示所有 TCP 端口都已打开

76435
Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM


Symptom


症状

尽管安全策略被配置为阻止所有 tcp 端口从不信任到信任区域, 但在从 Internet 运行端口扫描时, 报告显示所有 tcp 端口都处于打开状态。

诊断

 

防火墙配置了目标 NAT 和安全策略, 仅允许从 internet 向内部服务器提供 HTTP 和 HTTPS 连接, 但是当端口扫描从 internet 完成时, 端口扫描报告显示所有 TCP 端口都处于打开状态。

 

这些症状是由于在不信任/外部区域的区域保护配置文件中配置的 SYN Cookie 功能而触发的。当防火墙 recevies syn 数据包时, 如果 syn Cookie 功能被激活, 防火墙将发送一个 syn ack, 并在处理连接之前等待客户端的 ack, 这也涉及到检查安全策略。

 

请参考此文档, 了解有关 SYN Cookie 功能的详细信息:

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

 

任何基于 tcp SYN ACK 数据包确定端口状态的 tcp 端口扫描工具都会将所有 tcp 端口显示为打开的。

Resolution


上面的 behvior 按预期工作, 为了避免这种情况, 您可以执行下列任一选项。

 

  • 禁用 SYN 防洪保护。
  • 将操作从 SYN Cookie 更改为随机早期删除。
  • 增加激活的阈值。 

 

请按照以下步骤调整这些更改。 在进行这些更改之前, 需要考虑网络安全问题。

 

从 GUI

转到 "网络" 选项卡 > 区域保护配置文件 >> 选择适当的区域保护配置文件 > 防洪保护。

 

doc-71843-2. png

 

从 CLI:

从 SYN Cookie 改为随机早期丢弃:

>>配置

# 删除网络配置文件区域-保护-剖面不信任-区域洪水 tcp syn 合成-cookie

#提交

退出

 

要更改激活速率:

>>配置

#设置网络配置文件区域-保护-剖面不信任-区域洪水 tcp syn 合成-cookie 激活速率 "值"

#提交

退出
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,244
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgRCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language