瞻博网络SRX是一种状态防火墙,它允许与现有会话匹配的流量。在收到TCP SYN数据包并且安全策略允许它时,将创建会话。当然,这意味着防火墙需要同时看到流的两个方向(客户端-服务器和服务器-客户端),否则这些检查将阻止合法数据包。

遵循流程图 说明了启用和禁用SYN标志检查时的数据包流序列。

SYN标志检查

默认情况下,所有TCP流会话都启用安全TCP检查。 Junos操作系统(Junos OS)在TCP会话期间执行以下操作:

  • 在会话的第一个数据包中检查SYN标志,并拒绝任何尝试启动会话的带有非SYN标志的TCP分段。
  • 在状态检查期间验证TCP序列号。

对于非SYN会话TCP数据包,重置数据包已关闭:

{primary:node0}
[电子邮件 protected]> 显示安全区
node0:
————————————————————————

安全区域:MGMT1
 为非SYN会话TCP数据包发送重置:关
 可配置的策略:是
  Interfaces bound: 1
  Interfaces:
    reth4.201

安全区域:TSMGMT
 为非SYN会话TCP数据包发送重置:关
 可配置的策略:是
  Interfaces bound: 1
  Interfaces:
    reth4.198

安全区域:MGMT2
 为非SYN会话TCP数据包发送重置:关
 可配置的策略:是
  Interfaces bound: 1
  Interfaces:
    reth3.0

当收到非同步tcp会话数据包时,我们可以启用重置数据包。

{primary:node0} [编辑]
[电子邮件 protected]# 设置安全区域安全区域MGMT1 tcp-rst

{primary:node0} [编辑]
[电子邮件 protected]# 设置安全区域安全区域TSMGMT tcp-rst

{primary:node0} [编辑]
[电子邮件 protected]# 设置安全区域安全区域MGMT tcp-rst       


再次检查设置:

[电子邮件 protected]> 显示安全区 
node0:
————————————————————————

安全区域:MGMT1
 发送非SYN会话TCP数据包的重置:开
 可配置的策略:是 
  Interfaces bound: 1
  Interfaces:
    reth4.201

安全区域:TSMGMT
 发送非SYN会话TCP数据包的重置:开
 可配置的策略:是 
  Interfaces bound: 1
  Interfaces:
    reth4.198

安全区域:MGMT2
 发送非SYN会话TCP数据包的重置:开
 可配置的策略:是 
  Interfaces bound: 1
  Interfaces:reth3.0



Junos OS提供了一种禁用TCP数据包安全性检查的机制,以确保与错误TCP实现的主机和设备的互操作性。在无SYN检查期间,Junos OS不会寻找用于会话创建的TCP SYN数据包。无序列检查将禁用TCP序列检查验证。而且,增加了吞吐量。默认情况下启用SYN检查和序列检查。 set security flow命令禁用所有TCP会话上的TCP SYN检查和TCP序列检查,从而降低了安全性。对于客户(如大型传输文件)或未正确使用标准的应用程序的场景,可能需要这样做。

禁用syn-check和sequence-check的另一个原因是环境中的非对称流。最好尽可能确保不发生不对称流动。但这并不总是可能的。因此,您可以在SRX设备上全局禁用这些检查。

要禁用TCP数据包安全性检查,请执行以下操作:

设置安全流tcp-session no-syn-check
设置安全流tcp会话无序列检查

禁用tcp选项后, TCP同步检查tcp顺序检查 如果是在全局级别配置的,则您可能需要在策略级别配置TCP数据包安全性检查。

注意: 在策略搜索后禁用全局SYN检查并强制执行SYN检查将极大地影响路由器可以处理的数据包数量。反过来,这将导致CPU大量运行。

在创建会话之前,配置对TCP SYN位的检查:

[编辑]
[电子邮件 protected]# 设置安全策略从区域A到区域B的策略pol1 然后允许tcp-options syn-check-required

在状态检查期间配置对TCP段中序列号的检查:

[编辑]
[电子邮件 protected]# 设置安全策略从区域Zone-A到区域B-策略pol1,然后允许tcp-options sequence-check-required

也可以在一个策略上禁用TCP SYN或序列检查,然后在所有其他策略上启用它们,应用组可用于根据以下情况完成此配置: KB24566.

参考:

通过 约翰

发表评论