我有以下情况:
两台Windows Server 2008正在客户端/服务器之间进行通信,中间有一个Juniper ISG 1000(6.3.0r6)。 客户端每秒创build大约100个新的TCP连接。 经过一段时间(几分钟)后,防火墙似乎阻止了新的连接(SYN数据包被发送但没有到达服务器)。 只有一些新的连接被阻止,如1-3 /秒。 就我们所见,防火墙没有打开IDP,也没有logging任何有趣的事情。
如果closures客户机/服务器应用程序,然后在同一端口上运行netcps(发送随机tcp数据),则连接超时。 在另一个端口上工作。 这应该排除以太网或IP层上的错误。
更新:我们重现这个使用nping发送60个TCP握手/秒。 需要花费几分钟的时间才能达到大多数或全部连接超时的状态。 在Juniper防火墙中使用stream量debugging和snoop嗅探不会显示任何失败的连接:(。在没有防火墙的服务器之间的相同行为可以正常工作。
有任何想法吗?
一个好的起点可能是检查你的筛选选项,以找出有问题的区域之间的限制。 如果是这种情况,您的事件日志应该有引用这些块的条目。 “ 概念与范例ScreenOS参考指南:第4部分,攻击检测和防御机制”文档的第3章介绍了这些保护措施。
您也可以执行stream程debugging,以了解丢弃的原因。 知识库文章KB12208显示基本的stream程debugging,但您可能需要支持login才能看到它。
streamdebugging和窥探没有显示任何东西,但运行wireshark与端口镜像表明,stream量实际上到达了防火墙。 我们已经与瞻博开了一个支持案例。