パケット バッファ保護がグローバルに有効になっているが、ゾーンで有効になっていない場合、どのような影響がありますか。
46238
Created On 04/23/20 00:07 AM - Last Modified 06/01/23 16:31 PM
Symptom
症状:
- PBP「パケット ドロップ」の脅威ログは、パケット バッファ保護が有効になっていないゾーンのトラフィックに対して監視されます。
条件:
- [デバイス > セットアップ > PBP セッション > セッションの設定>パケット バッファ保護] で、パケット バッファ保護 ( ) がグローバルに有効になっています。
- ゾーンでパケット バッファ保護が有効になっていないか、どのゾーンでも有効になっていない
Environment
- PAN-OS 8.0
- PAN-OS 8.1
- PAN-OS 9.0
- PAN-OS 9.1
Cause
これは期待どおりに動作しています。
パケット バッファ保護がグローバルに有効になると、実行(ドロップ)によってパケット バッファを悪用するセッションが保護 RED されます。 これにより、次の処理がトリガーされます。
- 脅威 ID : 8507 / 脅威の種類: 洪水/ 脅威名: PBP パケットドロップ
パケット バッファ保護がゾーン単位で有効になると、保護が拡張され、破棄/ブロックアクションが追加され、次の処理がトリガーされます。
- 脅威 ID : 8508 / 脅威の種類: 洪水/ 脅威名: PBP セッションが破棄されました
- 脅威 ID : 8509 / 脅威の種類: 洪水/脅威名: PBP IP ブロック
A これらのアクションの違いを理解するためのクイック リファレンス:
- RED = 問題のあるセッションまたは問題のあるホストに属するトラフィックをランダムにドロップする
- Discard = 問題のあるセッション状態を破棄に設定します (リソースが枯渇しているセッションがある場合のみ)。
- Block = ソースをブロックする IP (通常は低速パスリソースの枯渇のため、 アクティブなセッションが存在しない)
Resolution
グローバル パケット バッファ保護によって不要なドロップが発生している場合は、アクティブ化しきい値を高い値(80%)またはグローバル パケット バッファ保護を無効にします (推奨されません)。
Additional Information
PA-5200 実際には PAN-119914 、グローバル パケット バッファ保護が "セッション破棄" として不正な脅威ログ エントリを書き込むマッピングの問題 (ref.) を PBP 持っています PBP 。 この問題は、そのアクションを報告する方法にのみ影響 firewall を与えますが、実行されたアクションは影響しません。