我有以下情况:
两台 Windows Server 2008 以客户端/服务器模式进行通信,中间有一台 Juniper ISG 1000 (6.3.0r6)。客户端每秒创建大约 100 个新的 TCP 连接。一段时间(几分钟)后,防火墙似乎阻止了新连接(SYN 数据包已发送但未到达服务器)。只有一些新连接被阻止,例如每秒 1-3 个。据我们所知,防火墙没有打开 IDP,也没有记录任何有趣的内容。
如果我们关闭客户端/服务器应用程序,然后在同一端口上运行 netcps(发送随机 tcp 数据),则连接会超时。在另一个端口上它可以正常工作。这应该可以排除以太网或 IP 层上的错误。
更新:我们使用 nping 每秒发送大约 60 次 tcp 握手来重现此问题。需要几分钟才能达到大多数或所有连接超时的状态。使用流调试和监听在 Juniper 防火墙中进行嗅探不会显示任何失败的连接 :(。没有防火墙的服务器之间的相同行为可以正常工作。
有任何想法吗?
答案1
一个好的起点可能是检查您的筛选选项,以了解相关区域之间的限制。如果是这种情况,您的事件日志应该有引用这些块的条目。 概念与范例 ScreenOS 参考指南:第 4 部分,攻击检测与防御机制文件解释了这些保护措施。
您还可以执行流程调试以了解丢失的原因。知识库文章KB12208显示基本流程调试,但您可能需要支持登录才能看到它。
答案2
流量调试和监听没有显示任何内容,但运行带有端口镜像的 wireshark 显示流量确实到达了防火墙。我们已向 Juniper 提交了支持案例。