为同一公用 IP 地址配置源和目标 NAT 时的土地攻击
Resolution
概述
当管理员为 DMZ 区域服务器配置目标转换和具有相同公共 IP 地址的信任区域用户的源转换时, 可能会发生土地攻击。当从内部 LAN 到防火墙的通信公用 IP 地址源转换将被应用和丢弃的帕洛阿尔托网络防火墙, 这被认为是一个土地攻击。
详细
下面显示的是由于土地攻击而导致流量下降的情况。
从 "Trust_L3" 区域启动到 internet 的通信将使用源代码转换。从公用网络 (Untrust_L3) 启动到 web 服务器 (200.1.1.1) 的通信将使用目标转换。
下面是上述方案的 NAT 配置。
从内部区域 (Trust_L3) 到防火墙公共 IP 地址 (200.1.1.1) 的通信将命中源 NAT 规则, 这将导致将源转换应用于通信。该源将被转换为防火墙的公共 IP, 防火墙将立即丢弃此通信, 因为它将被视为土地攻击。防火墙会将此通信量视为相同的源和目标 IP 地址。
解决办法
要确认由于土地攻击而丢弃的通信量, 请运行以下命令。此命令验证计数器, 特别是放置计数器。
可以使用特定的源和目标 IP 地址配置筛选器, 并将其应用到全局计数器以获取特定输出, 如下所示。
在设置筛选器并启动 "Ping" 通信到防火墙公共 IP 的内部 LAN 后, 按照下面的命令检查是否由于土地攻击而下落。
>> 显示计数器全局筛选器数据包过滤器是三角洲是严重性下降
全局计数器:
上次取样后的运行时间: 17.60 秒
名称值速率严重性类别方面说明
---------------------------------------------------------------------------------
flow_policy_nat_land 3 0 滴流会话会话设置: 源 nat IP 分配结果的土地攻击
---------------------------------------------------------------------------------
显示的计数器总数: 1
---------------------------------------------------------------------------------
解决办法
为从内部 LAN (Trust_L3) 到防火墙 IP 地址 (200.1.1.1) 的通信创建 "无 NAT" 规则, 如下所示。
从内部 LAN Trust_L3 到防火墙 IP 地址 (200.1.1.1) 的通信将命中 "无 nat" 规则, 不受 nat 翻译的影响。
所有者︰ sbabu