Palo Alto Networks ファイアウォールTCP設定とカウンター値

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Palo Alto Networks TCP Settings and Counters
https://live.paloaltonetworks.com/t5/Learning-Articles/Palo-Alto-Networks-TCP-Settings-and-Counters/...

 

次世代Palo Alto Networks ファイアウォールは様々なタイプの不法侵入に対して、防御するセキュリティー機能を提供します。不法侵入を検知すると、初期設定の動作ではトラフィックログや脅威ログに記録せず、パケットを破棄します。

 

グローバル カウンター値を参照する

グローバル カウンター値はセキュリティ機能によってトラフィックがドロップされたことを示します。以下のコマンドによって確認します。

t1.png

 

現在の設定の確認

現在の装置の設定値を確認するために、以下のコマンドを実行します。

t2.png

 

カウンター値の説明と、関連するコマンド設定

flow_tcp_non_syn_drop - Packets dropped: non-SYN TCP without session match

 

次世代Palo Alto Networks ファイアウォールは3ウェイ ハンドシェイクによってTCPセッションを構築します。デバイスの初期設定では、3ウェイ ハンドシェイクのないTCPパケットをドロップします。正規なnon-SYN TCP通信は、非対称ルーティングによって発生し、そのため通信の一部のパケットしか通信機器を通過しません。正規なnon-SYN TCP通信は他にも、機器を新規に追加した場合に、既存の通信によって発生することがありえます。
 

このような場合に、この機能を無効にする必要性があるかもしれません。

CLI 設定 : set session tcp-reject-non-syn <yes|no>

 

この設定を設定ファイルに追加して、コミットを実行することによって、再起動後、初期設定動作を変更することができます。

 

> configure

# set deviceconfig setting session tcp-reject-non-syn <yes|no>

# commit

 

この機能は、ゾーン プロテクションを使っている場合、WebUI経由で、設定、解除をすることもできます。ゾーン プロテクション設定プロファイルで、管理者はグローバルでYes/Noを選択できます。ゾーン プロテクション設定プロファイルはnon-SYN TCP通信を拒否するように、システム全体に適応されるグローバル設定をそのまま使うことも可能です。ゾーン プロテクション設定プロファイル選択設定されたYes/No選択はグローバル設定に上書きさます。

 

注 :ゾーン プロテクション設定プロファイルは内側通信セッションに対して適応されます。仮に、ゾーンAに設定されている場合、ゾーンAに入ってくる通信に対して、ゾーンプロテクション設定プロファイルは適応されますが、ゾーンAから出ていく通信に対しては適応されません。

 

tcp_drop_out_of_wnd - out-of-window packets dropped

Palo Alto Networks ファイアウォールは元のACKから始まるスライディング シーケンス ウィンドウを作成します(ウィンドウ サイズは、セッション内の通信タイプに依存します)。パケットのシーケンス番号は、スライディング ウィンドウ内に納まることが期待されます。このウィンドウは、トラフィックの種類や、ACKメッセージが受信された際に調整します。初期設定の動作では、シーケンス番号がウィンドウ外だった場合、ドロップします。

 

この設定を設定ファイルに追加して、コミットを実行することによって、再起動後、初期設定動作を変更することができます。

 

> configure

# set deviceconfig setting tcp asymmetric-path < bypass|drop >

# commit

 

tcp_exceed_flow_oo_seg_limit out-of-window packets dropped due to the limitation on tcp out-of-order queue size

Palo Alto Networks ファイアウォールはセッションにつき32個まで、順不同のパケットを保持しようとします。このカウンターは32個の保持できるパケット制限を越えた場合にカウントされます。正しい順番が確認される前に32個の制限に達した場合、機器の初期設定では、Layer4-7のスキャンをバイパスします。

 

もしバイパス設定をNoに変更すると、システムは32個の制限を越えた場合、パケットをドロップします。

 

この設定を設定ファイルに追加して、コミットを実行することによって、再起動後、初期設定動作を変更することができます。

> config

# set deviceconfig setting tcp bypass-exceed-oo-queue <yes|no>

# commit

 

tcp_out_of_sync - can't continue tcp reassembly because it is out of sync

このカウンターは、ACKのシーケンス番号がスライディング シーケンス番号よりも外側にある場合に増加します。スライディング シーケンス番号は元のACKと、セッションのトラフィック タイプによって計算されます。初期設定では、これらのout-of-syncパケットはドロップします。この機能を無効にすると、パイパスされます。out-of-syncとセッションが判定されると、セッションがスキャンされるのを効果的にバイパスされます。この設定を設定ファイルに追加して、コミットを実行することによって、再起動後、初期設定動作を変更することができます。

 

> config

# set deviceconfig setting tcp asymmetric-path < bypass|drop >

# commit

 

 

 

著者 :  rnitz