Firewall wird fragmentierte Pakete entfernt, wenn der Zonenschutz aktiviert ist
Symptom
- Firewall löscht die Pakete und globalen Zähler "flow_dos_pf_ipfrag"-Inkremente.
Globale Zähler:
Verstrichene Zeit seit der letzten Probenahme: 3,917 Sekunden
Beschreibung des Namenswerts des Schweregrads der Kategorie
--------------------------------------------------------------------------------
flow_dos_pf_ipfrag 2 0 Drop Flow Dos Pakete fallen gelassen: Zonenschutzoption 'discard-ip-frag'
- Im folgenden Dokument wird erläutert, wie Sie den globalen Zähler auf einen bestimmten Datenverkehr überprüfen:
Environment
Zonenschutz mit aktiviertem "discard-ip-frag" konfiguriert
Cause
- Firewall werden alle empfangenen fragmentierten Pakete entfernt, wenn in der empfangenden Zone ein Zonenschutz mit aktivierter Option "Fragmentierter Datenverkehr" konfiguriert ist.
- Sie können den folgenden Befehl in CLI ausführen, um zu überprüfen, ob die Einstellung konfiguriert ist.
> Zone-Schutzzone anzeigen <ingress zone="" name=""></ingress>
------------------------------------------------------------------------------------------
Anzahl der Zonen mit Schutzprofil: 1
------------------------------------------------------------------------------------------
Zone L3-Trust, vsys vsys1, Profilbeispiel
------------------------------------------------------------------------------------------
IPv(4/6) Filter:
discard-ip-frag: aktiviert: ja, Paket verworfen: 10 ---> Die Option ist hier aktiviert
tcp-reject-non-syn: aktiviert: ja, (global), Paket verworfen: 0
discard-tcp-syn-with-data: aktiviert: ja, Paket verworfen: 0
discard-tcp-synack-with-data: aktiviert: ja, Paket gelöscht: 0
IPv4-Paketfilter:
IPv6-Paketfilter:
------------------------------------------------------------------------------------------
Resolution
- Wenn dies ein legitimer Datenverkehr ist, den Sie zulassen möchten, können Sie die Option deaktivieren, um den fragmentierten Datenverkehr zuzulassen.
Hinweis: Das Deaktivieren des "Fragmentierten Datenverkehrsabfalls" kann ein Sicherheitsrisiko darstellen. Wenn Sie diese Option nicht ändern möchten, müssen Sie das Originalgerät überprüfen, um zu sehen, warum firewall fragmentierte Pakete empfangen werden.
GUIVon:- Wählen Sie Netzwerk --> Netzwerkprofile --> Zonenschutz
- Klicken Sie auf den Namen des Zonenschutzes
- Wählen Sie die Registerkarte "Packet Based Attack Protection" und Subtab IP Drop
- Deaktivieren Sie die Option "Fragmentierter Datenverkehr" und klicken Sie auf OK