Firewall wird fragmentierte Pakete entfernt, wenn der Zonenschutz aktiviert ist

Firewall wird fragmentierte Pakete entfernt, wenn der Zonenschutz aktiviert ist

51078
Created On 11/20/19 04:15 AM - Last Modified 03/26/21 17:55 PM


Symptom


  • Firewall löscht die Pakete und globalen Zähler "flow_dos_pf_ipfrag"-Inkremente.
> zeigen Zähler globalen Filter Paket-Filter ja Delta ja

Globale Zähler:

Verstrichene Zeit seit der letzten Probenahme: 3,917 Sekunden

Beschreibung des Namenswerts des Schweregrads der Kategorie

--------------------------------------------------------------------------------

flow_dos_pf_ipfrag 2 0 Drop Flow Dos Pakete fallen gelassen: Zonenschutzoption 'discard-ip-frag'
 

  • Im folgenden Dokument wird erläutert, wie Sie den globalen Zähler auf einen bestimmten Datenverkehr überprüfen:
       Überprüfen globaler Leistungsindikatoren für eine bestimmte Quell- und IP Zieladresse

 

Environment


  • Zonenschutz mit aktiviertem "discard-ip-frag" konfiguriert

Cause


  • Firewall werden alle empfangenen fragmentierten Pakete entfernt, wenn in der empfangenden Zone ein Zonenschutz mit aktivierter Option "Fragmentierter Datenverkehr" konfiguriert ist.
  • Sie können den folgenden Befehl in CLI ausführen, um zu überprüfen, ob die Einstellung konfiguriert ist.

       > Zone-Schutzzone anzeigen <ingress zone="" name=""></ingress>

------------------------------------------------------------------------------------------

Anzahl der Zonen mit Schutzprofil: 1

------------------------------------------------------------------------------------------

Zone L3-Trust, vsys vsys1, Profilbeispiel

------------------------------------------------------------------------------------------

IPv(4/6) Filter:

discard-ip-frag: aktiviert: ja, Paket verworfen: 10 ---> Die Option ist hier aktiviert

tcp-reject-non-syn: aktiviert: ja, (global), Paket verworfen: 0

discard-tcp-syn-with-data: aktiviert: ja, Paket verworfen: 0

discard-tcp-synack-with-data: aktiviert: ja, Paket gelöscht: 0

IPv4-Paketfilter:

IPv6-Paketfilter:

------------------------------------------------------------------------------------------
 

Resolution


  • Wenn dies ein legitimer Datenverkehr ist, den Sie zulassen möchten, können Sie die Option deaktivieren, um den fragmentierten Datenverkehr zuzulassen.

      Hinweis: Das Deaktivieren des "Fragmentierten Datenverkehrsabfalls" kann ein Sicherheitsrisiko darstellen. Wenn Sie diese Option nicht ändern möchten, müssen Sie das Originalgerät überprüfen, um zu sehen, warum firewall fragmentierte Pakete empfangen werden.

GUIVon:
  • Wählen Sie Netzwerk --> Netzwerkprofile --> Zonenschutz
  • Klicken Sie auf den Namen des Zonenschutzes
  • Wählen Sie die Registerkarte "Packet Based Attack Protection" und Subtab IP Drop
  • Deaktivieren Sie die Option "Fragmentierter Datenverkehr" und klicken Sie auf OK
       Benutzeriertes Bild
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNZMCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language