Identifizieren der Fehlkonfiguration des Paketpuffers
Symptom
- Bedrohungsprotokolle zeigen Überschwemmungsereignis mit Bedrohung ID 8507
- In Den Bedrohungsprotokollen wird keine übereinstimmende Sicherheit policy angezeigt.
- Die Pakete werden in einer Oder allen Zonen abgelassen.
Environment
- Jede PAN-OS .
- Palo Alto Firewall .
- Paketpufferschutz konfiguriert.
Cause
Die konfigurierte Aktivierungsrate für den Paketpuffer ist zu niedrig oder der Paketpufferangriff ist im Gange.
Resolution
Schritte zur Fehlerbehebung
Überprüfen Sie die globale PBP Konfiguration (Packet Buffer Protection) unter Device > Setup >Sitzungseinstellungen auf die Aktivierung s. Verschieben Sie die Aktivierungsrate höher, wenn die Aktivierungsrate sehr niedrig oder niedriger als die "Alarmrate" ist.
Die Standardaktivierungsrate beträgt 50 %, kann jedoch bis zu 60 % oder 70 % höher liegen.
Überprüfen Sie, ob die PBP Zonenebene auf Zonenebene aktiviert GUI ist: Network >Zones
Überprüfen Sie den DoS-Schutz auf Zonenebene und protokollieren und aktivieren Sie die TCP UDP Aktivierungs- und ICMP Alarmrate. Manchmal wird die Aktivierungsrate mit Cookies auf Null SYN gesetzt. Das erzwingt das Firewall Senden von Cookies für alle SYN TCP Sitzungen.
Identifizieren Sie, was die aktuelle Pufferrate ist und welche Sitzung das Problem verursacht.
- Geben Sie CLI den folgenden Befehl aus, und überprüfen Sie nach Paketpuffer (Durchschnitt) und Paketpuffer (Maximum) und vergleichen Sie den Durchschnittswert mit "global konfigurierten Wert" bei Device > Setup >Sitzungseinstellungs.
show running resource-monitor
- Identifizieren Sie die Top-Sitzung und den maximalen Puffer. Hier ist der CLI Befehl und weitere Informationen finden Sie hier
show running resource-monitor ingress-backlogs
- Geben Sie CLI den folgenden Befehl aus, und überprüfen Sie nach Paketpuffer (Durchschnitt) und Paketpuffer (Maximum) und vergleichen Sie den Durchschnittswert mit "global konfigurierten Wert" bei Device > Setup >Sitzungseinstellungs.