Désactiver Firewall le trafic de déchargement

Désactiver Firewall le trafic de déchargement

111735
Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM


Symptom


  • Lorsque le trafic de session est traité par l’avion de données des réseaux De Palo firewall Alto, les statistiques de session et les timers seront mis à jour pour chaque paquet.
  • La plupart de nos plates-formes haut de gamme FPGA ont une puce pour décharger entièrement une session CTS STC (et les flux) et contourner complètement les cœurs.

Environment


  • PA-3200 Série
  • PA-5200 Série
  • PA-7000 Série

Cause


Selon le modèle de la plate-forme, des règles différentes s’appliquent :

  • PA3050 - série 50xx
  1. La puce de déchargement envoie un message de stat par flux à l’avion de données après que 16 paquets soient reçus sur un seul flux ( ou CTS STC ).
  2. Le logiciel dataplane mettra à jour les statistiques de session et actualiser la minuterie en conséquence.
Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.
  • Série PA70xx
1. Les appareils de la série PA7000 gèrent les mises à jour différemment.Il enverra la stat par flux à l’avion de données dans les situations suivantes :
  • Une coulée a accumulé 64 paquets de stat
  • Ala période d’analyse a expiré pour ce flux particulier

2. Logiciel mise à jour des statistiques de session et les actualiser la minuterie en conséquence.

 

Resolution


  • Vérification

1. Vous pouvez vérifier si une session a été déchargée en utilisant la commande CLI suivante :

> show session id <id_num>
 

2. Voici un exemple d’une SSL session qui est déchargée parce qu’elle n’est pas décryptée. Le firewall ne peut pas faire de détection de menace de contenu, de sorte qu’il est déchargé hardware pour un traitement plus rapide:

admin@PAN_firewall> show session id 96776

Session           96776

        c2s flow:
                source:      172.20.13.132 [L3-Trust]
                dst:         50.17.226.145
                proto:       6
                sport:       61973           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      50.17.226.145 [L3-Untrust]
                dst:         10.46.198.13
                proto:       6
                sport:       443             dport:      14690
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Thu Oct 12 09:30:35 2017
        timeout                              : 1800 sec
        time to live                         : 1799 sec 
        total byte count(c2s)                : 54759
        total byte count(s2c)                : 134469
        layer7 packet count(c2s)             : 103
        layer7 packet count(s2c)             : 200
        vsys                                 : vsys1
        application                          : ssl  
        rule                                 : Trust-Untrust
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        address/port translation             : source
        nat-rule                             : Trust-NAT(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : computer-and-internet-info
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/6
        egress interface                     : ethernet1/3
        session QoS rule                     : N/A (class 4)
        tracker stage l7proc                 : ctd decoder bypass
        end-reason                           : unknown

Remarque : En PAN-OS 7.1 et plus tard, une session déchargée aura une valeur l7proc d’étape de tracker de dérivation ctd.

3. Toutes les statistiques de session et les minuteries sont maintenues dans le logiciel.Ainsi, il est nécessaire pour la puce de déchargement d’envoyer des mises à jour régulières au logiciel.Ces mises à jour ne peuvent pas être envoyées pour chaque paquet, en raison de problèmes de performances.

 

  • Contournement

Pour éviter le déchargement des sessions, il y a quelques solutions de contournement pour y parvenir :

1. Désactiver hardware le déchargement
Éteignez temporairement le déchargement dur, utilisez la CLI commande :
> set session offload no
Ou enpermanence, utilisez CLI la commande :(même après un redémarrage, le déchargement sera désactivé)
> configure
# set deviceconfig setting session offload no
# commit

 Note: Cette approche peut avoir un impact notable sur le CPU .
 

2. Régler la minuterie keepalive tcp et l’intervalle sur les serveurs d’applications.

Additional Information


 NOTE:
Avant la PANOS version 8.1, la création d’une application personnalisée et l’ajustement de la valeur de délai d’attente pour l’application personnalisée étaient une étape nécessaire dans la solution de contournement pour tenir compte du pire des scénarios.
De PANOS la version 8.1 et plus tard, ce n’est plus nécessaire comme indiqué dans le techdoc suivant pour les délais d’attente de session basés sur le service.  
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8cCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language