SecPath系列防火墙开启IP欺骗防范导致
正常报文被丢弃的解决方法
一、问题描述:
在如下四种组网环境中,SecPath防火墙开启firewall defend ip-spoofing,会导致防火墙丢弃正常报文:
1、SecPath启用某些VPN功能时,包括启用L2TP、DVPN,有些协议报文会被丢弃,VPN无法建立;
2、SecPath上配置策略路由时,匹配到策略路由的报文被丢弃;
3、SecPath上配置等值路由时,匹配到等值路由的报文被丢弃。
4、SecPath上,当报文出入防火墙的接口不一致时。
二、原因分析:
防火墙启用IP欺骗防范后通过反查路由表确定报文是否为攻击报文,在上述四种应用环境下,会导致SecPath防火墙IP欺骗防范功能误报,正常报文被丢弃。
三、处理措施:
本次受影响的产品涉及到Quidway SecPath全系列防火墙,包括SecPath10F、SecPath100F-S、SecPath100F、SecPath100F-E、SecPath500F、SecPath1000F;涉及的版本包括当前发布的所有版本:VRP3.4-R1210P01及以前版本。SecPath1800F上不存在此问题。
规避的措施:在上述四种组网环境下,不要配置firewall defend ip-spoofing 启用防火墙的IP欺骗防范功能;已经启用了该功能的局点,全局模式下用undo firewall defend ip-spoofing命令关闭该功能。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作