Firewallオフロードトラフィックを無効にする

111739

Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM

Symptom

パロアルトネットワークスのデータプレーンによってセッショントラフィックが処理されると firewall 、セッションの統計とタイマーがパケットごとに更新されます。
ハイエンドプラットフォームの多くは FPGA 、セッションを完全にオフロードし( CTS STC フロー)、コアを完全にバイパスするチップを持っています。

Environment

PA-3200 シリーズ
PA-5200 シリーズ
PA-7000 シリーズ

Cause

プラットフォームのモデルによって異なる規則が適用されます。

PA3050 - 50 xx シリーズ

オフロードチップは、1 つのフロー (または) で16 個のパケットを受信した後、フローごとの stat メッセージをデータプレーンに送信 CTS STC しています。
データプレーン・ソフトウェアはセッションマップ広告を更新し、それに応じてタイマーを更新します。

Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.

PA70xx シリーズ

1. PA7000 シリーズデバイスは、更新プログラムを異なる方法で処理します。次の状況では、フローごとの統計をデータプレーンに送信します。

1 つのフローの合計の 64 パケットを蓄積してきた
Aこの特定のフローに対してスキャンタイマーが期限切れになりました

2. ソフトウェアはセッションの統計情報を更新し、それに応じてタイマーを更新します。

Resolution

検証

1. セッションがオフロードされたかどうかを確認するには、次のコマンドを使用 CLI します。

> show session id <id_num>

2. 以下は、 SSL 復号されていないためにオフロードされるセッションの例です。コンテンツ firewall の脅威検出を行うことができないため、 hardware 処理を高速化するためにオフロードされます。

admin@PAN_firewall> show session id 96776

Session           96776

        c2s flow:
                source:      172.20.13.132 [L3-Trust]
                dst:         50.17.226.145
                proto:       6
                sport:       61973           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      50.17.226.145 [L3-Untrust]
                dst:         10.46.198.13
                proto:       6
                sport:       443             dport:      14690
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Thu Oct 12 09:30:35 2017
        timeout                              : 1800 sec
        time to live                         : 1799 sec 
        total byte count(c2s)                : 54759
        total byte count(s2c)                : 134469
        layer7 packet count(c2s)             : 103
        layer7 packet count(s2c)             : 200
        vsys                                 : vsys1
        application                          : ssl  
        rule                                 : Trust-Untrust
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        address/port translation             : source
        nat-rule                             : Trust-NAT(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : computer-and-internet-info
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/6
        egress interface                     : ethernet1/3
        session QoS rule                     : N/A (class 4)
        tracker stage l7proc                 : ctd decoder bypass
        end-reason                           : unknown

注: PAN-OS 7.1 以降では、オフロードされたセッションは、トラッカーステージ l7proc 値を ctd デコーダバイパスに設定します。

3. すべてのセッションの統計情報およびタイマーはソフトウェアに保持されます。したがって、オフロードチップはソフトウェアに定期的な更新を送信する必要があります。パフォーマンス上の問題があるため、これらの更新をすべてのパケットに送信することはできません。

回避策

セッションのオフロードを避けるために、これを実現するためにいくつかの回避策があります。

1. オフロードをオフにする hardware

ハードオフロードを一時的にオフにする、コマンドを使用 CLI します。

> set session offload no

または、永久に、コマンドを使用 CLI する:(再起動後も、オフロードは無効になります)

> configure
# set deviceconfig setting session offload no
# commit

注: この方法は、に顕著な影響を与える可能性があります CPU 。

2. Tcp キープアライブタイマーおよびアプリケーションサーバーの間隔を調整します。

Additional Information

NOTE:
バージョン 8.1 より前のバージョンでは PANOS 、カスタムアプリケーションを作成し、カスタムアプリケーションのタイムアウト値を調整することは、最悪のシナリオに対応するために、回避策の必要な手順でした。
PANOSバージョン 8.1 以降では、サービスベースのセッションタイムアウトに関する次の techdoc に記載されているように、この処理は不要になりました。