Проблема
Сканер сети обнаружил открытые порты TCP через WAN между сайтами, сообщая о них на внутренних хостах, известных как несуществующие.
Среда
- Разрешенные или заблокированные TCP соединения между сайтами.
- Ускорение TCP на SYN для трафика WAN включено на уровне аккаунта или сайта
Устранение неполадок
,TCP соединения между сайтами могут быть затронуты TCP прокси, как упомянуто в Объяснение TCP ускорения и лучших практик Cato. Поведение будет зависеть от того, разрешено или заблокировано TCP соединение межсетевым экраном WAN и включенным режимом TCP прокси.
Просмотр CMA событий для определения, было ли TCP соединение разрешено или заблокировано.
Разрешенные TCP соединения
Трафик WAN через Cato Cloud работает с двумя доступными режимами TCP прокси, управляемыми настройкой Ускорение TCP на SYN для трафика WAN на странице расширенной конфигурации (подробности в разделе Решение).
Полный режим TCP прокси для WAN
Этот режим активирует TCP прокси сразу после получения первого SYN пакета для каждого соединения. Он применяет TCP прокси ко всему трафику, вне зависимости от настроек ускорения.
В результате, даже если IP-адрес назначения не отвечает с SYN-ACK, PoP завершает 3-стороннее рукопожатие с сетевым сканером. Это может привести к ложным срабатываниям, когда сканер сообщает об открытых портах TCP на несуществующих хостах.
Примечание: Порт TCP/443 всегда будет использовать этот режим, если инспекция TLS включена для аккаунта.
Сохранение оригинальной WAN TCP передачи и задержка TCP прокси
В этом режиме, TCP прокси задерживается до тех пор, пока TCP рукопожатие с IP-адресом назначения не будет завершено. TCP прокси не применяется вне зависимости от настроек ускорения.
3-стороннее рукопожатие со сканером происходит только если IP-адрес назначения отвечает SYN-ACK.
Идентификация режима TCP прокси
Активный режим TCP прокси можно идентифицировать напрямую через события межсетевого экрана WAN. 'TCP ускорение = 1' означает, что Полный режим TCP прокси для WAN был активирован.
Начиная с ноября 2023 года, Полный режим TCP прокси для WAN является режимом по умолчанию для новых аккаунтов. Для аккаунтов, созданных до этой даты, Сохранение оригинальной WAN TCP передачи является режимом по умолчанию.
Заблокированные TCP соединения
Заблокированный WAN трафик через Cato Cloud будет использовать Полный режим TCP прокси для WAN, в котором PoP завершает 3-стороннее рукопожатие с сетевым сканером, но никакой SYN пакет не отправляется на адресат. Этот подход используется для передачи страницы блокировки источнику.
Решение
Для разрешенных TCP соединений
Администраторы могут изменить режим TCP прокси для WAN, настроив параметр Ускорение TCP на SYN для трафика WAN на странице расширенной конфигурации, применимой как для аккаунта, так и на сайтового уровне.
- Вкл. - Полный режим TCP прокси для WAN.
- Выкл./Отключен - Сохранение оригинальной WAN TCP передачи и задержка TCP прокси.
Полный режим TCP прокси для WAN режим рекомендуется для оптимальной производительности. Однако, администраторы могут выбрать отключение этого режима по мере необходимости, чтобы избежать ложных срабатываний для открытых портов TCP.
Чтобы предотвратить ложные срабатывания на порту TCP/443, убедитесь, что Инспекция TLS отключена. В качестве альтернативы, вы можете связаться со службой поддержки Cato, чтобы настроить систему для добавления IP-адреса сетевого сканера в белый список, эффективно предотвращая ложные срабатывания.
Для заблокированных TCP соединений
3-стороннее поведение рукопожатия в заблокированных TCP соединениях ожидаемо в режиме Полный режим TCP прокси для WAN. Однако, если это поведение вызывает проблемы, вы можете обратиться в Поддержка Cato, чтобы настроить систему для отброса первого TCP-пакета, вместо завершения рукопожатия со сканером. Это применимо к традиционным правилам, как объясняется в Traditional vs. NG Firewall Rules.
0 комментариев
Войдите в службу, чтобы оставить комментарий.