如果数据包缓冲区保护全局启用,但在区域上未启用,则产生什么效果?
46234
Created On 04/23/20 00:07 AM - Last Modified 06/01/23 16:31 PM
Symptom
症状:
- PBP在没有启用数据包缓冲区保护的情况下,将观察到"数据包掉落"威胁日志的流量。
条件:
- 数据包缓冲区保护 PBP () 在全球范围内启用以下功能:[设备>设置>会话>会话设置>数据包缓冲区保护]
- 数据包缓冲区保护未在区域上启用,或未在任何区域上启用
Environment
- PAN-OS 8.0
- PAN-OS 8.1
- PAN-OS 9.0
- PAN-OS 9。8
Cause
这项工作如预期的那样有效。
每当包缓冲区保护在全球启用时,它将通过执行 RED (掉落)来保护滥用数据包缓冲器的会话。 这将导致触发:
- 威胁 ID : 8507 / 威胁类型: 洪水 / 威胁名称: PBP 数据包掉落
当每个区域启用数据包缓冲区保护时,将扩展保护以添加丢弃/阻止操作,从而触发:
- 威胁 ID : 8508 / 威胁类型: 洪水 / 威胁名称: PBP 会话丢弃
- 威胁 ID : 8509 / 威胁类型: 洪水 / 威胁名称: PBP IP 阻止
A 快速参考以了解这些操作之间的差异:
- RED =随机丢弃属于违规会话或违规主机的流量
- 丢弃 = 将有问题的会话状态设置为"丢弃"(仅在会话耗尽资源时)
- 块=阻止源 IP (通常用于慢路径资源消耗-不存在活动会话)
Resolution
如果全局数据包缓冲区保护导致不必要的丢弃,请将激活阈值提高至更高值(即 80%)或禁用全局数据包保护(不建议)。
Additional Information
PA-5200 系列有一个映射问题 (ref.), PAN-119914 将导致全球数据包缓冲区保护将不正确的威胁日志条目写为" PBP 会话丢弃",而实际上正在执行" PBP 数据包丢弃"。 这个问题只影响 firewall 报告其行动的方式,而不影响其执行行动的方式。