• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SecPath F5000 开启 loose模式后 来回路径不一致报文仍无法转发

14小时前提问
  • 0关注
  • 0收藏,32浏览
粉丝:0人 关注:0人

问题描述:

流量来时不经过防火墙,回去的时候经过防火墙。session state-machine mode loose开启后,业务仍然不通。

 

3 个回答
粉丝:132人 关注:11人

检查下安全策略放行了吗 


暂无评论

粉丝:11人 关注:9人

排查步骤及命令:
1. 确认loose模式是否生效:
display session state-machine mode
若未显示loose,执行:
session state-machine mode loose
2. 检查回程报文是否匹配会话表:
display session all | include [目的IP/源IP]
若未生成会话,需确认:
回程报文的源IP是否是去程报文的目的IP(loose模式要求源IP匹配)
协议、端口是否一致(loose模式仍要求协议和端口匹配)
3. 检查安全策略是否允许回程流量:
display security-policy rule all | include [回程流量特征]
若策略未允许,需配置允许回程流量的安全策略:
security-policy rule [规则名]
source-zone [回程报文入接口所属区域]
destination-zone [回程报文出接口所属区域]
source-address [回程源IP]
destination-address [回程目的IP]
service [协议/端口]
action permit
4. 检查NAT配置(若有):
若去程未经过防火墙,回程经过时若配置了NAT,需确认NAT策略是否正确,避免地址转换导致会话不匹配。

暂无评论

粉丝:18人 关注:2人

一、先理清 loose 模式核心原理(定位你失效根源)

session state-machine mode loose 宽松模式仅作用:不校验 TCP 报文首包必须是 SYN,回程无匹配会话也允许过安全策略转发,但不会自动跳过 NAT、URPF、应用检测、域策略、会话同步、IRF 跨框限制
你场景:去程不经过防火墙,回程经过防火墙,属于无正向会话、仅回程单包入防火墙,loose 仅放开 TCP 状态校验,下面任一环节拦截都会直接丢包。

二、按优先级分层排查(9 大失效原因)

1. 域间安全策略未放行回程流量(最高发)

loose 仅放开会话状态校验,不会自动放行域间策略。回程报文入防火墙时,会匹配源 / 目的安全域策略,无 permit 策略直接丢弃。

排查验证

plaintext
# 查看回程报文是否命中策略、是否被丢弃 display security-policy hit-count source 回程源IP destination 回程目的IP

修复

回程流量单独放通双向策略,示例(内网 Trust,外网 Untrust):
plaintext
security-policy rule 10 permit source Untrust destination Trust
临时测试:新建any any any permit策略,能通则原策略缺失回程放行。

2. 回程报文触发 uRPF 严格校验丢包(极常见)

外网接口 / 安全域开启了urpf strict,回程报文源 IP 反向路由入接口不匹配,直接丢弃,loose 会话模式无法绕过 URPF。

查看配置

plaintext
display current-configuration interface GigabitEthernet 0/0 display current-configuration zone Untrust
出现urpf strict即为故障点。

修复二选一

1)不对称出口场景改为松散 URPF:
plaintext
interface GigabitEthernet 0/0 urpf loose allow-default-route
2)临时关闭 URPF 测试:undo urpf

3. NAT 转换拦截(无正向会话,回程无法匹配 NAT)

分两种场景:
1)内网做源 NAT(SNAT):去程没经过防火墙,无 SNAT 会话,回程报文目的 IP 是内网私网 IP,防火墙无反向 NAT 转换,转发后内网网关无回程路由;
2)NAT Server 端口映射:外网访问服务器,回程无正向会话,目的公网 IP 无法转换为内网服务器 IP。

解决

  • 若业务必须不对称路由:配置双向静态 NAT,无需依赖会话表做地址转换:
plaintext
nat static global 203.0.0.10 inside 192.168.1.10 netmask 255.255.255.255
静态 NAT 不受会话表限制,回程自动转换地址。

4. IRF / 双机 HA 跨框会话不同步(F5000 典型坑)

若 F5000 做 IRF2 堆叠、RBM 主备:
  • 去程流量从另一台设备走,回程流量进本框,会话表只存在对端框,本机无会话;
  • loose 模式仅放开 TCP 状态,但跨框无会话时,应用检测 / 状态过滤仍会丢包。

修复

1)开启全局会话同步:
plaintext
session synchronization enable
2)双主负载分担不对称场景,不要用 loose,改用 compact 简化模式(官方规范:主备不对称用 loose,双主 / IRF 跨框不对称用 compact)
plaintext
undo session state-machine mode loose session state-machine mode compact

5. 应用检测 / 深度安全模块拦截(IPS/AV/ 应用控制)

loose 仅关闭 TCP 会话状态校验,IPS、应用控制、病毒过滤仍会深度解析报文,无正向会话的孤立回程报文会被判定为异常攻击丢弃。

临时验证

临时关闭所有应用特征检测:
plaintext
undo ips enable undo app-control enable undo av enable
关闭后业务通,说明应用安全策略拦截回程单包。

长期方案

新建应用控制白名单,放行业务 IP 双向流量,跳过深度检测。

6. 回程无反向路由,转发失败

防火墙收到回程报文,查询目的 IP 路由无出接口,直接丢弃,和 loose 模式无关。
plaintext
# 测试回程目的IP路由是否可达 display ip routing-table 内网终端IP
无路由则添加静态回程路由指向内网核心交换机。

7. TCP 单包校验 / 攻击防范误拦截

全局攻击防范、TCP 客户端校验会拦截孤立 ACK / 回复报文:
plaintext
# 查看TCP校验配置 display current-configuration zone
若安全域下配置tcp client-verification safe-reset,会拦截无 SYN 的回程单包。

临时关闭测试

plaintext
system-view undo attack defense enable

8. 配置未全局生效 / 设备版本 BUG

1)确认 loose 模式已成功下发引擎:
plaintext
display session state-machine mode # 输出 loose 才代表生效
2)老旧 F5000 版本(R81xx 及更早)loose 模式存在缺陷,无法处理纯回程单包,升级至 R8305P03 + 稳定版本修复。

9. 防火墙多出口选路不对称叠加问题

多运营商双出口场景:回程报文匹配的出接口和去程接口不一致,即使 loose 放开会话,运营商侧也会丢弃源地址不匹配的报文,需配置源地址路由 / 策略路由固定回程出口。

三、5 分钟快速定位测试流程

  1. 临时放开全域安全策略any any permit,排除策略拦截;
  2. 关闭接口 URPF、IPS、应用控制、攻击防范;
  3. 确认路由双向可达,回程目的 IP 有正确内网路由;
  4. IRF / 双主场景切换为compact简化模式;
  5. 配置静态双向 NAT,消除会话依赖的动态 SNAT;
  6. 抓包验证:debugging packet filter,查看回程报文丢弃原因(policy/urpf/nat/tcp-check)。

四、根治最优方案(不依赖 loose 模式)

宽松模式仅临时应急,安全能力大幅下降,推荐从组网根源解决不对称路由:
  1. 调整全网路由策略,保证业务来回流量全部经过 F5000 防火墙,实现对称路径;
  2. 若必须不对称,使用静态双向 NAT+compact 简化会话模式,配套放开全域回程安全策略;
  3. IRF 双机场景强制开启会话同步,避免跨框无会话丢包。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明