FAQ-USG9520 多出口环境下ip-spoofing功能对nat server的影响

发布时间:  2016-12-28 浏览次数:  88 下载次数:  0
问题描述
多出口都映射同一台内部服务器的环境下,外网对内网服务器的访问可能从其中任意接口进入防火墙


开启ip-spoofing后设备对报文的源IP地址进行路由表反查,
如果反查下一跳最佳出口和报文的入接口不相等,则视为IP欺骗攻击,丢弃该数据包。
解决方案
该类场景不能配置ip-spoofing,删除命令如下:
<sysname> system-view
[sysname] undo firewall defend ip-spoofing enable

END