「flow_dos_drop_ip_blocked」グローバルカウンターの異常な増加を緩和する方法

• グローバルカウンターの異常な増加を緩和するflow_dos_drop_ip_blocked。 

> show counter global filter delta yes
flow_dos_drop_ip_blocked x y drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules

• このカウンタflow_dos_drop_ip_blocked、DoS、PBP、または脆弱性プロファイルの「ブロックIP」アクションによってパケットがドロップされたときに増加します。

• 次世代ファイアウォール
• サポートされている PAN-OS
• DoS、PBP、または脆弱性プロファイル
• グローバルカウンター flow_dos_drop_ip_blocked

1. ファイアウォール システムと脅威ログを確認します: MONITOR> Logs> System および MONITOR> Logs> Threat
2. CLI を使用して IP ブロック リストを検査します。

   > show dos-block-table all
   > debug dataplane show dos block-table

3. または、[MONITOR] > [Block IP List] の [UI Block IP List Entries ] を確認します 。
4. CLIを使用して、他のグローバルカウンタがflow_dos_drop_ip_blockedとともに増加しているかどうかを確認します。

   > show counter global | match drop
   > show counter global filter delta yes | match drop

   この手順は、たとえばグローバルカウンタflow_dos_pbp_block_host も増加しているように見える場合、パケットドロップがパケットバッファ保護に関連しているかどうかを関連付けるのに役立ちます。
5. ファイアウォールの設定を確認してください。
   1. UIでのDOSおよびゾーン保護構成:
      • ポリシー>DoS保護、
      • OJECTS > セキュリティ プロファイル> DoS 保護
      • NETWORK > ネットワーク プロファイル > ゾーン保護>偵察保護: ACTION > block-ip
   2. パケットバッファ保護の設定は、グローバル設定とゾーン設定の両方です。
      • DEVICE > Setup > Session > Session settings
      • NETWORK > ゾーン。
   3. [脆弱性プロファイル(Vulnerability Profile)] の
      • OBJECTS > セキュリティプロファイル>脆弱性保護。
6. 上記の手順に基づいて、この IP をブロックするファイアウォール アクションが予想される場合は、送信元でトラフィックのブロックを試みます。
7. ただし、ブロックされた IP が信頼されており、その IP から送信されたトラフィックをドロップすることがファイアウォールからの望ましい動作でない場合は、次のようになります。
   1. ブロックされたIPは、保護するアクションと分類されたDoS保護プロファイルで構成されたDOS保護ポリシールールが原因で発生した場合は、DOS保護プロファイルの設定を調整するか、DOSポリシールールを編集します。 特定のDOS保護ルールによってブロックされたすべてのIPをクリアするには、

      > debug dataplane reset dos rule "DOS Protection" classification-table

   2. ゾーンプロテクションプロファイルが設定されているためにブロックされたIPが発生した場合は、[ゾーンプロテクションプロファイルが信頼されたトラフィックをブロックする]をオンにします。完全な dos block-table をリセットする「debug dataplane reset dos block-table」を使用する代わりに、以下を使用します。

      > debug dataplane reset dos zone <zone-name> block-table source x.x.x.x

      をクリックして、信頼できる IP に関連するブロック エントリを具体的に削除します。
   3. PBP が設定されているためにブロックされた IP が発生した場合は、信頼ゾーンの PBP を無効にするか、[デバイス>セットアップ] > [セッション] > [セッション] 設定で PBP 設定を調整することを検討してください。
   4. 脆弱性保護プロファイルが原因でブロックされた IP が発生した場合は、
      1. たとえば、脆弱性検出をトリガーしている IP から特定の種類のアプリケーションをブロックすることが目的の動作である場合は、ブロック IP の動作をトリガーしている既存のルールの上にポリシー セキュリティ規則を作成し、そのソース IP からのそのアプリケーションを拒否します。
      2. 特定の脆弱性から特定のIPを除外することが望ましい動作である場合は、[オブジェクト]>[セキュリティプロファイル]>[脆弱性保護 ]でその脅威IDの例外を有効にし、脆弱性保護プロファイル(その特定のIPのIPブロック動作をトリガーしているセキュリティルールに添付されている)を選択し、[例外]タブをクリックして、[IPアドレスの除外]の下にIPを追加します。

パケット バッファ保護がグローバルに有効になっているが、ゾーンで有効になっていない場合、どのような影響がありますか。

ブロックテーブル(SWおよびHW)は、次の場合にのみ使用されます。

• 分類された DoS Protection プロファイル
• 偵察保護(ゾーンプロテクションプロファイルで設定)
• パケットバッファ保護 (PBP)
• 脆弱性保護 (アクション "Block IP")