Firewall está dejando caer paquetes fragmentados cuando la protección de zona está habilitada
Symptom
- Firewall cae los paquetes y los incrementos "flow_dos_pf_ipfrag" del contador global.
Contadores globales:
Tiempo transcurrido desde el último muestreo: 3.917 segundos
descripción del aspecto de la categoría de gravedad de la tasa de valor de nombre
--------------------------------------------------------------------------------
flow_dos_pf_ipfrag 2 0 de flujo de caída dos Paquetes caídos: Opción de protección de zona 'discard-ip-frag'
- Refiera por favor el documento abajo que explica cómo marcar el contador global para un tráfico específico:
Environment
Protección de zona configurada con "discard-ip-frag" habilitado
Cause
- Firewall caerá todos los paquetes fragmentados recibidos si la zona receptora tiene una protección de zona configurada con la opción "Tráfico fragmentado" habilitada.
- Puede ejecutar el siguiente comando CLI para comprobar si la configuración está configurada
> mostrar zona de protección <ingress zone="" name=""></ingress>
------------------------------------------------------------------------------------------
Número de zonas con perfil de protección: 1
------------------------------------------------------------------------------------------
Zona L3-Trust, vsys vsys1, perfil Muestra
------------------------------------------------------------------------------------------
Filtro IPv(4/6):
discard-ip-frag: habilitado: sí, paquete caído: 10 ---> La opción está habilitada aquí
tcp-reject-non-syn: habilitado: sí, (global), paquete caído: 0
discard-tcp-syn-with-data: enabled: yes, packet dropped: 0
discard-tcp-synack-with-data: enabled: yes, packet dropped: 0
Filtro de paquetes IPv4:
Filtro de paquetes IPv6:
------------------------------------------------------------------------------------------
Resolution
- Si se trata de un tráfico legítimo que desea permitir, puede deshabilitar la opción para permitir el tráfico fragmentado.
Nota:Deshabilitar la "caída de tráfico fragmentado" puede tener un riesgo de seguridad. Si usted no desea cambiar esta opción entonces usted necesita marcar el dispositivo ascendente para ver por qué firewall está recibiendo los paquetes fragmentados.
Desde GUI :- Seleccione Network --> Network Profiles --> Zone protection
- Haga clic en el nombre de la protección de la zona
- Seleccione la pestaña "Protección contra ataques basados en paquetes" y la colocación de subtab IP
- Desmarque la opción "Tráfico fragmentado" y haga clic en OK