Welche Auswirkungen hat der Paketpufferschutz, wenn er global, aber nicht für Zonen aktiviert ist?

46242

Created On 04/23/20 00:07 AM - Last Modified 06/01/23 16:31 PM

Symptom

Symptom:

"Packet PBP Drop"-Bedrohungsprotokolle werden für Datenverkehr in Zonen ohne aktivierten Paketpufferschutz beobachtet.

Zustand:

Der Paketpufferschutz ( PBP ) ist global unter aktiviert: [ Device > Setup > Session > Session Settings > Packet Buffer Protection ]
Paketpufferschutz ist in der Zone nicht oder in Zonen nicht aktiviert.

Environment

PAN-OS 8.0
PAN-OS 8.1
PAN-OS 9.0
PAN-OS 9.1

Cause

Das funktioniert wie erwartet.

Immer wenn Packet Buffer Protection global aktiviert ist, werden Sitzungen geschützt, die die Paketpuffer missbrauchen, indem sie RED (Drops) ausführen. Dies führt zu:

Bedrohung ID : 8507 / Bedrohungstyp: Flut / Bedrohungsname: PBP Paketabsturz

Wenn der Paketpufferschutz dann pro Zone aktiviert ist, wird der Schutz erweitert, um Verwerfen/Blockieren-Aktionen hinzuzufügen, die folgende Triggerung ausführen:

Bedrohung ID : 8508 / Bedrohungstyp: Flut / Bedrohungsname: PBP Sitzung verworfen
Bedrohung ID : 8509 / Bedrohungstyp: Flut / Bedrohungsname: PBP IP Blockiert

A schnelle Referenz, um die Unterschiede zwischen diesen Aktionen zu verstehen:

RED = zufälliges Löschen von Datenverkehr, der zur beleidigenden Sitzung oder zum beleidigenden Host gehört
Verwerfen = Beleidigender Sitzungsstatus auf Verwerfen setzen (nur wenn eine Sitzung Ressourcen erschöpft)
Block = Blockieren der Quelle IP (in der Regel für die Erschöpfung der Langsamen Pfade - keine aktive Sitzung vorhanden)

Resolution

Wenn der globale Paketpufferschutz unerwünschte Verluste verursacht, erhöhen Sie den Aktivierungsschwellenwert auf einen höheren Wert (d. h. 80 %). oder deaktivieren Sie den globalen Paketpufferschutz (nicht empfohlen).

Additional Information