Überlegungen zu Firewalls

Die Verwendung von TCP-Optionen durch die Citrix SD-WAN WANOP-Appliance gefährdet den beschleunigten Datenverkehr von Firewalls, die aggressive Regeln für die Verweigerung von Diensten für Verbindungen mit weniger gebräuchlichen TCP-Optionen haben.

Einige Firewalls entfernen die unbekannten Optionen und leiten dann das Paket weiter. Diese Aktion verhindert Beschleunigung, beeinträchtigt aber nicht die Konnektivität.

Andere Firewalls verweigern den Dienst für Verbindungen mit unbekannten Optionen. Das heißt, die SYN-Pakete mit Citrix SD-WAN WANOP-Optionen werden von der Firewall gelöscht. Wenn die Appliance wiederholte Verbindungsversuchsfehler erkennt, wird es ohne die Optionen wiederholt. Dies stellt die Konnektivität nach einer Verzögerung mit variabler Länge wieder her, normalerweise im Bereich von 20-60 Sekunden, jedoch ohne Beschleunigung.

Jede Firewall, die Citrix SD-WAN WANOP-Optionen nicht über unverändert weitergibt, muss neu konfiguriert werden, um TCP-Optionen im Bereich von 24 bis 31 (Dezimal) zu akzeptieren.

Die meisten Firewalls blockieren diese Optionen nicht. Allerdings können Cisco ASA und PIX Firewalls (und vielleicht andere) mit Version 7.x-Firmware dies standardmäßig tun.

Die Firewalls an beiden Enden des Links sollten untersucht werden, da beide Optionen für ausgehende Verbindungen zulassen, aber sie bei eingehenden Verbindungen blockieren können.

Das folgende Beispiel sollte mit Cisco ASA 55x0 Firewalls mit 7.x Firmware funktionieren. Da es global Optionen im Bereich von 24-31 erlaubt, gibt es keine benutzerdefinierte Konfiguration pro Schnittstelle oder pro Einheit:

 ====================================================================
 CONFIGURATION FOR CISCO ASA 55X0 WITH 7.X CODE TO ALLOW TCP OPTIONS
 ====================================================================
 hostname(config)# tcp-map WSOptions
 hostname(config-tcp-map)# tcp-options range 24 31 allow
 hostname(config-tcp-map)# class-map WSOptions-class
 hostname(config-cmap)# match any
 hostname(config-cmap)# policy-map WSOptions
 hostname(config-pmap)# class WSOptions-Class
 hostname(config-pmap-c)# set connection advanced-options WSOptions
 hostname(config-pmap-c)# service-policy WSOptions global

Die Konfiguration für eine PIX Firewall ist ähnlich:

 =====================================================
 POLICY MAP TO ALLOW APPLIANCE TCP OPTIONS TO PASS (PIX 7.x)
 =====================================================
 pixfirewall(config)#access-list tcpmap extended permit tcp any any
 pixfirewall(config)# tcp-map tcpmap
 pixfirewall(config-tcp-map)# tcp-opt range 24 31 allow
 pixfirewall(config-tcp-map)# exit
 pixfirewall(config)# class-map tcpmap
 pixfirewall(config-cmap)# match access-list tcpmap
 pixfirewall(config-cmap)# exit
 pixfirewall(config)# policy-map global_policy
 pixfirewall(config-pmap)# class tcpmap
 pixfirewall(config-pmap-c)# set connection advanced-options tcpmap

Überlegungen zu Firewalls