暂无评论
session state-machine mode loose 宽松模式仅作用:不校验 TCP 报文首包必须是 SYN,回程无匹配会话也允许过安全策略转发,但不会自动跳过 NAT、URPF、应用检测、域策略、会话同步、IRF 跨框限制。
你场景:去程不经过防火墙,回程经过防火墙,属于无正向会话、仅回程单包入防火墙,loose 仅放开 TCP 状态校验,下面任一环节拦截都会直接丢包。# 查看回程报文是否命中策略、是否被丢弃
display security-policy hit-count source 回程源IP destination 回程目的IP
security-policy
rule 10 permit source Untrust destination Trust
any any any permit策略,能通则原策略缺失回程放行。urpf strict,回程报文源 IP 反向路由入接口不匹配,直接丢弃,loose 会话模式无法绕过 URPF。display current-configuration interface GigabitEthernet 0/0
display current-configuration zone Untrust
urpf strict即为故障点。interface GigabitEthernet 0/0
urpf loose allow-default-route
undo urpfnat static global 203.0.0.10 inside 192.168.1.10 netmask 255.255.255.255
session synchronization enable
undo session state-machine mode loose
session state-machine mode compact
undo ips enable
undo app-control enable
undo av enable
# 测试回程目的IP路由是否可达
display ip routing-table 内网终端IP
# 查看TCP校验配置
display current-configuration zone
tcp client-verification safe-reset,会拦截无 SYN 的回程单包。system-view
undo attack defense enable
display session state-machine mode
# 输出 loose 才代表生效
any any permit,排除策略拦截;compact简化模式;debugging packet filter,查看回程报文丢弃原因(policy/urpf/nat/tcp-check)。暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论