由于 TCP 重组, 数据包被丢弃

问题

由于 TCP 重组, 数据包被丢弃。

原因

如果网络中存在不对称路由, 通常会发生这种情况。例如, 如果 syn 数据包通过帕洛阿尔托网络防火墙, 但 syn 从不通过防火墙, 并且防火墙收到 ACK。由于 TCP 重组失败, 防火墙将丢弃数据包。

为了确认, 请运行数据包捕获并检查全局计数器。有关数据包捕获的更多信息, 请参见:使用泛型 OS 4.1 通过 GUI 进行数据包筛选

如下所示, 在计数器中, 可以看到由于 TCP 重组, 数据包被丢弃。捕获显示它正在接收 syn 数据包和 ACK 数据包, 但从未收到 syn ACK:

解决办法

使用以下命令将防火墙配置为绕过全局不对称路由。

>>配置

# 设置 deviceconfig 设置 tcp 非对称路径旁路

#提交

可以通过以下步骤还原更改:

>>配置

# 删除 deviceconfig 设置 tcp 非对称路径

#提交

使用以下命令检查当前对非对称通信的操作:

>> 显示运行的 tcp 状态 |匹配不对称

不对称路径的会话: 丢弃数据包

或者, 用户可以通过创建区域保护配置文件 来缩小绕过非对称路由的范围, 仅用于访问特定目标区域的通信。

1. 转到网络>区域保护配置文件.
2. 添加一个新的配置文件并给它一个名称。
3. 转到基于数据包的攻击保护选项卡, 然后在下拉菜单中选择以下内容:
   拒绝非 SYN TCP: 不
   对称路径: 旁路
   
4. 转到问题的目标区域, 并分配区域保护配置文件。
   
5. 提交更改.

注意:如果通信量跨越两个安全区域, 则区域保护配置文件将为目标区域指定密钥. 将区域保护配置文件应用于一个区域或两者, 具体取决于是否需要非对称通信量。它可以启动单向并仅应用于目标区域, 或双向并应用于这两个区域.

所有者: ashaikh