Firewall ゾーン保護が有効になっている場合、断片化されたパケットをドロップしています
Symptom
- Firewall パケットとグローバル カウンタの「flow_dos_pf_ipfrag」の増分をドロップします。
グローバル カウンタ:
最後のサンプリングからの経過時間: 3.917 秒
名前値レート重大度カテゴリ の側面の説明
--------------------------------------------------------------------------------
flow_dos_pf_ipfrag 2 0 ドロップ フローはパケットをドロップします: ゾーン保護オプション 'discard-ip-frag'
- 特定のトラフィックのグローバル カウンタを確認する方法を説明する以下のドキュメントを参照してください。
Environment
「破棄 ip-frag」が有効に設定されたゾーン保護
Cause
- Firewall 受信ゾーンに「断片化されたトラフィック」オプションが有効になっているゾーン保護が設定されている場合、受信したフラグメント化されたパケットはすべてドロップされます。
- 以下のコマンドを実行 CLI して、設定が構成されているかどうかを確認できます。
>表示ゾーン保護ゾーン <ingress zone="" name=""></ingress>
------------------------------------------------------------------------------------------
保護プロファイルを持つゾーンの数: 1
------------------------------------------------------------------------------------------
ゾーン L3-トラスト、vsys vsys1、プロファイルのサンプル
------------------------------------------------------------------------------------------
IPv(4/6) フィルタ:
廃棄 ip-frag: 有効: はい、パケットがドロップされました: 10 ---> このオプションはここで有効になっています
tcp-reject 非 syn: 有効: はい、(グローバル)、パケットがドロップされました: 0
廃棄-tcp-syn-with-data: 有効: はい、パケットがドロップされました: 0
廃棄 tcp-synack-with-data: 有効: はい、パケットがドロップされました: 0
IPv4 パケット フィルタ:
IPv6 パケット フィルタ:
------------------------------------------------------------------------------------------
Resolution
- これが許可したい正当なトラフィックである場合は、フラグメント化されたトラフィックを許可するオプションを無効にすることができます。
注: "トラフィックの断片化" を無効にすると、セキュリティ上のリスクが生じる可能性があります。 このオプションを変更しない場合は、アップストリーム デバイスをチェックして firewall 、フラグメント化されたパケットを受信する理由を確認する必要があります。
から GUI :- ネットワークの選択 --> ネットワーク プロファイル -- ゾーン保護>
- ゾーン保護の名前をクリックします。
- 「パケットベース攻撃保護」タブを選択し、ドロップをサブタブ IP
- 「トラフィックの断片化」オプションのチェックを外し、 OK