Networking

大量新 TCP 連接通過瞻博網路防火牆後連接超時

  • October 12, 2011

我有以下情況:

兩台 Windows Server 2008 以客戶端/伺服器方式進行通信,中間使用 Juniper ISG 1000 (6.3.0r6)。客戶端每秒創建大約 100 個新的 tcp 連接。一段時間(分鐘)後,防火牆似乎阻止了新連接(SYN 數據包已發送但未到達伺服器)。只有一些新的連接被阻止,比如 1-3 / 秒。據我們所見,防火牆沒有打開 IDP,也沒有記錄任何有趣的東西。

如果我們關閉客戶端/伺服器應用程序,然後在同一個埠上執行 netcps(發送隨機 tcp 數據),它會導致連接超時。在另一個埠上它可以工作。這應該排除乙太網或 IP 層上的錯誤。

更新:我們正在使用 nping 重現此情況,以每秒發送大約 60 次 tcp 握手。需要幾分鐘才能達到大多數或所有連接都超時的狀態。使用流調試和窺探在瞻博網路防火牆中進行嗅探不會顯示任何失敗的連接:(。沒有防火牆的伺服器之間的相同行為可以正常工作。

有任何想法嗎?

流調試和窺探沒有顯示任何內容,但執行帶有埠鏡像的wireshark 表明流量實際上到達了防火牆。我們已經與瞻博網路建立了支持案例。

一個好的起點可能是檢查您的篩選選項,了解相關區域之間的限制。如果是這種情況,您的事件日誌應該包含引用這些塊的條目。概念和範例 ScreenOS 參考指南的第 3 章 :第 4 部分,攻擊檢測和防禦機製文件解釋了這些保護。

您還可以執行流調試以了解失去的原因。知識庫文章KB12208顯示了基本的流程調試,但您可能需要支持登錄才能看到它。

引用自:https://serverfault.com/questions/320117