TCP の再構築によりパケットが削除される
Resolution
問題
TCP の再構築によりパケットが破棄される。
原因
これは通常、ネットワークに非対称ルーティングがある場合に発生します。たとえば、syn パケットは、パロアルトネットワークファイアウォールを通過するが、syn-ack は、ファイアウォールを通過し、ファイアウォールが ack を受信することはありません。TCP の再構築で障害が発生したため、ファイアウォールはパケットを削除します。
確認のために、パケットキャプチャを実行し、グローバルカウンタをチェックします。パケットキャプチャの詳細については、「 PAN-OS 4.1 を使用した GUI によるパケットフィルタリングの利用」を参照してください。
以下に示すように、カウンタでは、TCP の再構築によってパケットが破棄されていることがわかります。キャプチャは、syn パケットと ack パケットを受信しているが、syn ack を受信しないことを示しています:
解決方法
非対称ルーティングをグローバルにバイパスするようにファイアウォールを構成するには、次のコマンドを使用します。
>構成
# set deviceconfig tcp 非対称パスバイパスの設定
#コミット
変更は、次のように戻すことができます。
>構成
# 削除 deviceconfig tcp 非対称パスの設定
#コミット
次のコマンドを使用して、非対称トラフィックの現在のアクションを確認します。
> 実行中の tcp 状態を表示する |非対称一致
非対称パスを使用したセッション: ドロップパケット
また、ユーザーは、ゾーン保護プロファイルを作成 することによって、特定の宛先ゾーンに移動するトラフィックだけをバイパスする非対称ルーティングを絞り込むことができます。
- ネットワーク>ゾーン保護プロファイルに移動します。
- 新しいプロファイルを追加し、名前を付けます。
- [パケットベースの攻撃保護] タブに移動し、プルダウンメニューで次の項目を選択します。
非 SYN TCP を拒否:
非対称パスなし: バイパス - 問題の宛先ゾーンに移動し、ゾーン保護プロファイルを割り当てます。
- 変更をコミットします。
注:トラフィックが2つのセキュリティゾーンにまたがる場合、ゾーン保護プロファイルは宛先ゾーンをキーとします。非対称トラフィックが必要かどうかに応じて、ゾーン保護プロファイルを1つのゾーンまたは両方に適用します。巡回を開始して、宛先ゾーンのみに適用するか、双方向して両方のゾーンに適用することができます。
所有者: ashaikh