禁用 Firewall 卸载流量

禁用 Firewall 卸载流量

111729
Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM


Symptom


  • 当会话流量由 Palo Alto 网络的数据平面处理时 firewall ,每个数据包都会更新会话统计数据和计时器。
  • 我们的大多数高端平台都有 FPGA 一个芯片,可以完全卸载会话( CTS 和 STC 流量),并完全绕过核心。

Environment


  • PA-3200 系列
  • PA-5200 系列
  • PA-7000 系列

Cause


根据平台模型,适用不同的规则:

  • PA3050-50xx 系列
  1. 卸载芯片在一个流(或)收到16 个数据包后向数据平面发送每流量统计消息 CTS STC 。
  2. Dataplane 软件将更新会话 statitics 和相应地刷新计时器。
Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.
  • PA70xx 系列
1. PA7000 系列设备以不同的方式处理更新。在下次情况下,它会将每流统计发送到数据平面:
  • 一个流积累了 64 数据包的统计
  • A此特定流的扫描定时器已过期

2. 软件将更新会话统计信息和相应地刷新计时器。

 

Resolution


  • 验证

1. 您可以使用以下命令验证会话是否已卸载 CLI :

> show session id <id_num>
 

2. 下面是因 SSL 未解密而卸载会话的示例。 firewall无法进行任何内容威胁检测,因此将其卸载到 hardware 以进行更快的处理:

admin@PAN_firewall> show session id 96776

Session           96776

        c2s flow:
                source:      172.20.13.132 [L3-Trust]
                dst:         50.17.226.145
                proto:       6
                sport:       61973           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      50.17.226.145 [L3-Untrust]
                dst:         10.46.198.13
                proto:       6
                sport:       443             dport:      14690
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Thu Oct 12 09:30:35 2017
        timeout                              : 1800 sec
        time to live                         : 1799 sec 
        total byte count(c2s)                : 54759
        total byte count(s2c)                : 134469
        layer7 packet count(c2s)             : 103
        layer7 packet count(s2c)             : 200
        vsys                                 : vsys1
        application                          : ssl  
        rule                                 : Trust-Untrust
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        address/port translation             : source
        nat-rule                             : Trust-NAT(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : computer-and-internet-info
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/6
        egress interface                     : ethernet1/3
        session QoS rule                     : N/A (class 4)
        tracker stage l7proc                 : ctd decoder bypass
        end-reason                           : unknown

注意:在 PAN-OS 7.1及以后,卸载会话将有一个跟踪阶段l7proc值的ctd解码器旁路

3. 软件维护所有会话统计信息和计时器。因此,卸载芯片需要定期向软件发送更新。由于性能问题,无法为每个数据包发送这些更新。

 

  • 解决 方案

为了避免会话的卸载,有几种解决方法可以实现:

1. 关闭 hardware 卸载
暂时关闭硬卸载,使用 CLI 命令:
> set session offload no
或永久使用 CLI 命令:(即使在重新启动后,卸载也将被禁用)
> configure
# set deviceconfig setting session offload no
# commit

 注意: 这种方法可以对 CPU 。
 

2. 调整 tcp 保活定时器和应用程序服务器上的时间间隔。

Additional Information


 NOTE:
在 PANOS 版本 8.1 之前,创建自定义应用程序并调整自定义应用程序的超时值是解决方法中适应最坏情况的必要步骤。
从 PANOS 版本 8.1 到以后,这不再需要,如以下 基于服务的会话超时技术doc 中所述。  
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8cCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language