iT邦幫忙

0

Juniper防火牆NetScreen-NS25 Sessions值衝很高

小弟公司目前還在使用這台NetScreen-NS25
公司內部約50台電腦
最大的session在8000
這幾天session會直被被外部ip掛連線數,導致session值一直衝到接近100%
導致網路不穩定,有試著查詢內部及外部ip的連線
但只要重Juniper防火牆,會恢複一陣子
過一天又開始出現Alarm及seeion的紅燈
清了session數後,又馬上快速增加至五、六千的session數
想說是否是這台防火牆快掛點了
https://ithelp.ithome.com.tw/upload/images/20191030/20122527p1Ty6jwPnM.jpg

下圖是外部ip會一直變動來連公司mail server(封鎖一個,又變另一個ip)
https://ithelp.ithome.com.tw/upload/images/20191030/20122527wxO99rx5YU.jpg
頭很痛!不知道是否是要升級!
已排除內部ip電腦中毒的問題!

以下是zone→untrust→screen設定
https://ithelp.ithome.com.tw/upload/images/20191030/201225276DLBfN8KbM.jpg
https://ithelp.ithome.com.tw/upload/images/20191030/20122527K7070IZArm.jpg
https://ithelp.ithome.com.tw/upload/images/20191030/20122527eLBKjclfos.jpg
求求高手幫忙!

2 個回答

1
hsiang11
iT邦研究生 2 級 ‧ 2019-10-30 16:48:26
最佳解答

我只有遇過一次8000 session的原因是被SMTP被當跳板狂寄信
一個50設備的公司會超過3000就已經很不正常了

查一下你機器的規格 也是頗久以前的機器
差不多也快打到上限了 系統跳提示也很正常
同時會話數(concurrent sessions)
16,000
每秒的新會話數目
8,000

因為來犯的IP來源眾多而且每秒都會產生不少連線
只能查看看你的防火牆是否功能有自動封鎖或自己慢慢鎖了
我覺得mail算是資安問題的集散地
如果不想汰換防火牆提升效能跟這些惡意連線對戰
那也可以考慮將mail服務委外 讓一些有設備有資源的大廠去解決問題

hsiang11 iT邦研究生 2 級 ‧ 2019-10-30 17:06:30 檢舉

IP Address Spoof Protection這一項裡面有一個Port Scan attack protection也可以調整看看有沒有用
一次值調個約200~500 不要調過頭導致網路出問題
慢慢觀察看看會不會有改善

1
mytiny
iT邦大師 1 級 ‧ 2019-10-31 11:24:46

Product : NetScreen-25, NetScreen-50
EOL Announced : 01/01/2008
Last Order : 06/30/2008
Last Date to Convert Warranty : 06/30/2009
Same Day Support Discontinued : 06/30/2010
Next Day Support Discontinued : 06/30/2012
End of Support : 06/30/2013

樓主這產品已經停產十年,停保五年以上
姑且不論這個,光是在資安防護的觀念上就已經過時

當外部攻擊一直來,就算能一直block事實上也是沒用
session table終究是會被填滿的
加上並沒有內容層的防護
來犯的攻擊又不能封鎖於境外
估計網路崩潰應該是可以預測的事

建議盡速更換為UTM或NGFW的設備
更重要的是找一個能懂資安防護的廠商
不要只找賣設備便宜的
設備再便宜都抵不過網路停擺一天的損失
網路及資安風險應當一併評估入採購案中

我要發表回答

立即登入回答