Juniper防火牆NetScreen-NS25 Sessions值衝很高

#session

mirchael21 2019-10-30 15:29:40 ‧ 1646 瀏覽

小弟公司目前還在使用這台NetScreen-NS25
公司內部約50台電腦
最大的session在8000
這幾天session會直被被外部ip掛連線數，導致session值一直衝到接近100%
導致網路不穩定，有試著查詢內部及外部ip的連線
但只要重Juniper防火牆，會恢複一陣子
過一天又開始出現Alarm及seeion的紅燈
清了ｓｅｓｓｉｏｎ數後，又馬上快速增加至五、六千的ｓｅｓｓｉｏｎ數
想說是否是這台防火牆快掛點了

下圖是外部ip會一直變動來連公司mail server(封鎖一個，又變另一個ip)

頭很痛！不知道是否是要升級！
已排除內部ip電腦中毒的問題！

以下是zone→untrust→screen設定

求求高手幫忙！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

hsiang11

iT邦好手 1 級 ‧ 2019-10-30 16:48:26

最佳解答

我只有遇過一次8000 session的原因是被SMTP被當跳板狂寄信
一個50設備的公司會超過3000就已經很不正常了

查一下你機器的規格也是頗久以前的機器
差不多也快打到上限了系統跳提示也很正常
同時會話數(concurrent sessions)
16,000
每秒的新會話數目
8,000

因為來犯的IP來源眾多而且每秒都會產生不少連線
只能查看看你的防火牆是否功能有自動封鎖或自己慢慢鎖了
我覺得mail算是資安問題的集散地
如果不想汰換防火牆提升效能跟這些惡意連線對戰
那也可以考慮將mail服務委外讓一些有設備有資源的大廠去解決問題

回應 1
分享
檢舉

hsiang11 iT邦好手 1 級 ‧ 2019-10-30 17:06:30 檢舉

IP Address Spoof Protection這一項裡面有一個Port Scan attack protection也可以調整看看有沒有用
一次值調個約200~500 不要調過頭導致網路出問題
慢慢觀察看看會不會有改善

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2019-10-31 11:24:46

Product ： NetScreen-25, NetScreen-50
EOL Announced ： 01/01/2008
Last Order ： 06/30/2008
Last Date to Convert Warranty ： 06/30/2009
Same Day Support Discontinued ： 06/30/2010
Next Day Support Discontinued ： 06/30/2012
End of Support ： 06/30/2013

樓主這產品已經停產十年，停保五年以上
姑且不論這個，光是在資安防護的觀念上就已經過時

當外部攻擊一直來，就算能一直block事實上也是沒用
session table終究是會被填滿的
加上並沒有內容層的防護
來犯的攻擊又不能封鎖於境外
估計網路崩潰應該是可以預測的事

建議盡速更換為UTM或NGFW的設備
更重要的是找一個能懂資安防護的廠商
不要只找賣設備便宜的
設備再便宜都抵不過網路停擺一天的損失
網路及資安風險應當一併評估入採購案中