Firewall abandonne les paquets fragmentés lorsque la protection de zone est activée

Firewall abandonne les paquets fragmentés lorsque la protection de zone est activée

51072
Created On 11/20/19 04:15 AM - Last Modified 03/26/21 17:55 PM


Symptom


  • Firewall laisse tomber les paquets et les incréments de compteur global flow_dos_pf_ipfrag « flow_dos_pf_ipfrag ».
> montrer compteur filtre global packet-filter oui delta oui

Compteurs mondiaux :

Temps écoulé depuis le dernier échantillonnage : 3,917 secondes

description de l’aspect de la catégorie de gravité de la valeur nominale

--------------------------------------------------------------------------------

flow_dos_pf_ipfrag 2 0 drop flow dos Paquets supprimés : Option de protection de zone 'discard-ip-frag'
 

  • Veuillez consulter le document ci-dessous qui explique comment vérifier le compteur global pour un trafic spécifique :
       Comment vérifier les compteurs mondiaux pour une source et une adresse de destination IP spécifiques

 

Environment


  • Protection de zone configurée avec « discard-ip-frag » activé

Cause


  • Firewall abandonnera tous les paquets fragmentés reçus si la zone de réception dispose d’une protection de zone configurée avec l’option « Trafic fragmenté » activée.
  • Vous pouvez exécuter la commande ci-dessous CLI pour vérifier si le paramètre est configuré

       > zone de protection des zones <ingress zone="" name=""></ingress>

------------------------------------------------------------------------------------------

Nombre de zones avec profil de protection: 1

------------------------------------------------------------------------------------------

Zone L3-Trust, vsys vsys1, échantillon de profil

------------------------------------------------------------------------------------------

Filtre IPv(4/6) :

discard-ip-frag: activé: oui, paquet tombé: 10 ---> L’option est activée ici

tcp-reject-non-syn: activé: oui, (global), paquet a chuté: 0

discard-tcp-syn-with-data: activé: oui, paquet supprimé: 0

discard-tcp-synack-with-data: activé: oui, paquet supprimé: 0

Filtre de paquet iPv4 :

Filtre de paquet iPv6 :

------------------------------------------------------------------------------------------
 

Resolution


  • S’il s’agit d’un trafic légitime que vous souhaitez autoriser, vous pouvez désactiver l’option pour permettre le trafic fragmenté.

      Remarque: La désactivation de la « baisse fragmentée du trafic » peut avoir un risque pour la sécurité. Si vous ne souhaitez pas modifier cette option, vous devez vérifier l’appareil en amont pour voir pourquoi firewall reçoit des paquets fragmentés.

De GUI :
  • Sélectionnez Réseau --> profils réseau --protection > zone
  • Cliquez sur le nom de la protection de zone
  • Sélectionnez l’onglet « Packet Based Attack Protection » et IP sous-tab Drop
  • Décochez l’option « Trafic fragmenté » et cliquez sur OK
       Image ajoutée par l'utilisateur
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNZMCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language