Firewall 启用区域保护时，正在丢弃支离破碎的包

• Firewall 删除数据包和全球计数器"flow_dos_pf_ipfrag"增量。

全局计数器：

自上次采样以来的经过时间：3.917 秒

名称值速率严重性类别方面描述

--------------------------------------------------------------------------------

flow_dos_pf_ipfrag 2 0 滴流 dos 数据包丢弃： 区域保护选项 "丢弃 ip - frag"
 

• 请参阅以下文档，其中说明如何检查全局计数器的特定流量：

• 启用了"丢弃 ip-frag"配置的区域保护

• Firewall 如果接收区域具有配置为启用"碎片流量"选项的区域保护，则将丢弃所有接收的零碎数据包。
• 您可以运行以下命令 CLI ，以检查设置是否已配置

       >显示区域保护区 <ingress zone="" name=""></ingress>

------------------------------------------------------------------------------------------

具有保护配置文件的区域数： 1

------------------------------------------------------------------------------------------

区域 L3 信任，vsys vsys1，配置文件示例

------------------------------------------------------------------------------------------

IPv（4/6） 过滤器：

丢弃 ip - frag： 已启用： 是的， 数据包丢弃： 10 ---> 此处启用了该选项

tcp 拒绝 - 非 syn： 启用： 是， （全局）， 数据包丢弃： 0

丢弃 - tcp - syn - 与数据： 启用： 是的， 数据包丢弃： 0

丢弃 - tcp - 同步与数据： 启用： 是的， 数据包丢弃： 0

IPv4 数据包过滤器：

IPv6 数据包过滤器：

------------------------------------------------------------------------------------------
 

• 如果这是您希望允许的合法流量，那么您可以禁用允许碎片流量的选项。

      注意：禁用"碎片流量丢弃"可能有安全风险。 如果您不想更改此选项，则需要检查上游设备，看看为什么 firewall 接收零碎的数据包。

• 选择网络 -- >网络配置文件 -- -- >区域保护
• 单击区域保护的名称
• 选择选项卡"基于数据包的攻击保护"和子数据包 IP 掉落
• 取消选中"支离破碎的流量"选项并单击 OK