Firewall 启用区域保护时,正在丢弃支离破碎的包
Symptom
- Firewall 删除数据包和全球计数器"flow_dos_pf_ipfrag"增量。
全局计数器:
自上次采样以来的经过时间:3.917 秒
名称值速率严重性类别方面描述
--------------------------------------------------------------------------------
flow_dos_pf_ipfrag 2 0 滴流 dos 数据包丢弃: 区域保护选项 "丢弃 ip - frag"
- 请参阅以下文档,其中说明如何检查全局计数器的特定流量:
Environment
启用了"丢弃 ip-frag"配置的区域保护
Cause
- Firewall 如果接收区域具有配置为启用"碎片流量"选项的区域保护,则将丢弃所有接收的零碎数据包。
- 您可以运行以下命令 CLI ,以检查设置是否已配置
>显示区域保护区 <ingress zone="" name=""></ingress>
------------------------------------------------------------------------------------------
具有保护配置文件的区域数: 1
------------------------------------------------------------------------------------------
区域 L3 信任,vsys vsys1,配置文件示例
------------------------------------------------------------------------------------------
IPv(4/6) 过滤器:
丢弃 ip - frag: 已启用: 是的, 数据包丢弃: 10 ---> 此处启用了该选项
tcp 拒绝 - 非 syn: 启用: 是, (全局), 数据包丢弃: 0
丢弃 - tcp - syn - 与数据: 启用: 是的, 数据包丢弃: 0
丢弃 - tcp - 同步与数据: 启用: 是的, 数据包丢弃: 0
IPv4 数据包过滤器:
IPv6 数据包过滤器:
------------------------------------------------------------------------------------------
Resolution
- 如果这是您希望允许的合法流量,那么您可以禁用允许碎片流量的选项。
注意:禁用"碎片流量丢弃"可能有安全风险。 如果您不想更改此选项,则需要检查上游设备,看看为什么 firewall 接收零碎的数据包。
从 GUI :- 选择网络 -- >网络配置文件 -- -- >区域保护
- 单击区域保护的名称
- 选择选项卡"基于数据包的攻击保护"和子数据包 IP 掉落
- 取消选中"支离破碎的流量"选项并单击 OK