问题
网络扫描器已检测到站点之间WAN上的开放TCP端口,并报告在已知不存在的内部主机上。
环境
- 站点之间允许或阻止TCP连接。
- 在账户或站点级别启用WAN流量的SYN上的TCP加速功能
故障排除
正如Cato TCP加速和最佳实践中所述,TCP代理可能影响站点之间的TCP连接。 行为将取决于WAN防火墙是否允许或阻止TCP连接以及相关的TCP代理模式。
查看CMA事件以确定TCP连接是否被允许或阻止。
允许TCP连接
Cato Cloud上的WAN流量在高级配置页面中的为WAN流量设置的SYN上的TCP加速设置控制下,有两个可用的TCP代理模式运行(详细信息在解决方案部分)。
全WAN TCP代理模式
该模式在接收到每个连接的第一个SYN数据包后立即启动TCP代理。 它在所有流量上强制执行TCP代理,而不考虑加速设置。
因此,即使目标IP不响应SYN-ACK,PoP仍会与网络扫描器完成三次握手。 这可能导致误报,即扫描器在不存在的主机上报告开放TCP端口。
注意: 如果为账户启用了TLS检查,端口TCP/443将始终使用此模式。
保留原始WAN TCP协商并延迟TCP代理
在此模式下,TCP代理延迟到与目标IP完成TCP握手后。 无论加速设置如何,都不强制执行TCP代理。
只有当目标IP响应SYN-ACK时才会与扫描器进行三次握手。
识别TCP代理模式
可以通过WAN防火墙事件直接识别活动的TCP代理模式。 'TCP加速=1'表示已触发全WAN TCP代理。
从2023年11月开始,全WAN TCP代理是新账户的默认模式。 对于在此日期之前创建的账户,保留原始WAN TCP协商是默认模式。
已阻止的TCP连接
Cato Cloud上已阻止的WAN流量将使用全WAN TCP代理模式,其中PoP将与网络扫描器完成三次握手,但不会向目标发送SYN数据包。 这种方法用于向来源传达阻止页面。
解决方案
对于允许的TCP连接
管理员可以通过在高级配置页面中调整为WAN流量设置的SYN上的TCP加速设置来修改WAN TCP代理模式,适用于账户和站点级别。
- 开启 - 全WAN TCP代理。
- 关闭/已禁用 - 保留原始WAN TCP协商并延迟TCP代理。
建议使用全WAN TCP代理模式以获得最佳性能。 然而,管理员可以选择在需要时禁用此模式,以避免开放TCP端口的误报。
为防止端口TCP/443的误报,请确保TLS检查已禁用。 或者,您可以联系Cato支持来配置系统,将网络扫描仪的IP地址列入白名单,从而有效防止误报。
对于已阻止的TCP连接
在已阻止的TCP连接中,三次握手行为在全WAN TCP代理模式下是预期的。 但是,如果此行为有问题,您可以联系Cato支持以配置系统以丢弃第一个TCP数据包而不是与扫描器完成握手。 这适用于传统规则,如传统与NG防火墙规则中所述。
0 条评论
请登录写评论。