Firewall abandonne les paquets fragmentés lorsque la protection de zone est activée
Symptom
- Firewall laisse tomber les paquets et les incréments de compteur global flow_dos_pf_ipfrag « flow_dos_pf_ipfrag ».
Compteurs mondiaux :
Temps écoulé depuis le dernier échantillonnage : 3,917 secondes
description de l’aspect de la catégorie de gravité de la valeur nominale
--------------------------------------------------------------------------------
flow_dos_pf_ipfrag 2 0 drop flow dos Paquets supprimés : Option de protection de zone 'discard-ip-frag'
- Veuillez consulter le document ci-dessous qui explique comment vérifier le compteur global pour un trafic spécifique :
Environment
Protection de zone configurée avec « discard-ip-frag » activé
Cause
- Firewall abandonnera tous les paquets fragmentés reçus si la zone de réception dispose d’une protection de zone configurée avec l’option « Trafic fragmenté » activée.
- Vous pouvez exécuter la commande ci-dessous CLI pour vérifier si le paramètre est configuré
> zone de protection des zones <ingress zone="" name=""></ingress>
------------------------------------------------------------------------------------------
Nombre de zones avec profil de protection: 1
------------------------------------------------------------------------------------------
Zone L3-Trust, vsys vsys1, échantillon de profil
------------------------------------------------------------------------------------------
Filtre IPv(4/6) :
discard-ip-frag: activé: oui, paquet tombé: 10 ---> L’option est activée ici
tcp-reject-non-syn: activé: oui, (global), paquet a chuté: 0
discard-tcp-syn-with-data: activé: oui, paquet supprimé: 0
discard-tcp-synack-with-data: activé: oui, paquet supprimé: 0
Filtre de paquet iPv4 :
Filtre de paquet iPv6 :
------------------------------------------------------------------------------------------
Resolution
- S’il s’agit d’un trafic légitime que vous souhaitez autoriser, vous pouvez désactiver l’option pour permettre le trafic fragmenté.
Remarque: La désactivation de la « baisse fragmentée du trafic » peut avoir un risque pour la sécurité. Si vous ne souhaitez pas modifier cette option, vous devez vérifier l’appareil en amont pour voir pourquoi firewall reçoit des paquets fragmentés.
De GUI :- Sélectionnez Réseau --> profils réseau --protection > zone
- Cliquez sur le nom de la protection de zone
- Sélectionnez l’onglet « Packet Based Attack Protection » et IP sous-tab Drop
- Décochez l’option « Trafic fragmenté » et cliquez sur OK