如何缓解“flow_dos_drop_ip_blocked”全局计数器的异常增加

• 缓解全局计数器flow_dos_drop_ip_blocked异常增加。 

> show counter global filter delta yes
flow_dos_drop_ip_blocked x y drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules

• 当由于 DoS、PBP 或漏洞配置文件“阻止 IP”操作而丢弃数据包时，此计数器flow_dos_drop_ip_blocked递增。

• 下一代防火墙
• 支持的 PAN-OS
• DoS、PBP 或漏洞配置文件
• flow_dos_drop_ip_blocked全局计数器

1. 检查防火墙系统和威胁日志：MONITOR>日志>系统和 MONITOR>日志>威胁
2. 通过 CLI 检查 IP 阻止列表：

   > show dos-block-table all
   > debug dataplane show dos block-table

3. 或者，检查“MONITOR”>“阻止 IP 列表”下的“UI 阻止 IP 列表”条目。
4. 使用 CLI 检查其他全局计数器是否随着flow_dos_drop_ip_blocked而递增：

   > show counter global | match drop
   > show counter global filter delta yes | match drop

   如果数据包丢弃与数据包缓冲区保护相关，则此步骤可以帮助进行关联，例如，全局计数器flow_dos_pbp_block_host 也在增加。
5. 确保查看防火墙的配置：
   1. UI下的DOS和区域保护配置：
      • DoS 保护>策略，
      • OJECTS > 安全配置文件> DoS 保护
      • NETWORK > 网络配置文件>区域保护>侦察保护：ACTION > block-ip
   2. 数据包缓冲区保护配置，包括全局和区域设置下的
      • 设备>设置 > 会话 > 会话设置
      • 网络>区。
   3. 漏洞配置文件
      • OBJECTS > 安全配置文件>漏洞防护。
6. 如果基于上述步骤，则防火墙操作将阻止此 IP，然后尝试在其源处阻止流量。
7. 但是，如果被阻止的 IP 是受信任的，并且丢弃来自它的流量不是防火墙所需的行为，则：
   1. 如果由于配置了具有“保护操作”和“分类 DoS 保护”配置文件的 DOS 保护策略规则而发生阻止的 IP，请调整 DOS 保护配置文件设置或编辑 DOS 策略规则。 要清除被特定 DOS 保护规则阻止的所有 IP，请使用

      > debug dataplane reset dos rule "DOS Protection" classification-table

   2. 如果由于配置了区域保护配置文件而导致 IP 被阻止，请选中区域保护配置文件阻止受信任的流量。而不是使用“debug dataplane reset dos block-table”来重置完整的 dos block-table，请使用：

      > debug dataplane reset dos zone <zone-name> block-table source x.x.x.x

      专门删除与受信任 IP 相关的阻止条目。
   3. 如果由于配置的 PBP 而发生阻止的 IP，请考虑禁用受信任区域的 PBP，或调整“设备>设置”下的 PBP 设置 >“会话”>会话设置。
   4. 如果由于 漏洞防护配置文件 而发生被阻止的 IP，则，
      1. 例如，如果所需的行为是阻止来自触发漏洞检测的 IP 的某种类型的应用程序，则在触发阻止 IP 行为的现有规则之上创建策略安全规则，并拒绝来自该源 IP 的应用程序。
      2. 如果所需的行为是将某个 IP 从特定漏洞中排除，则在“漏洞防护”>“对象”>“安全配置文件”下启用该威胁 ID 的例外，然后选择 “漏洞防护配置文件”（附加到触发该特定 IP 的阻止 IP 行为的安全规则），然后单击“例外”选项卡，然后在“IP 地址豁免”下添加该 IP。

如果数据包缓冲区保护全局启用，但在区域上未启用，则产生什么效果？

块表（SW 和 HW）仅供以下人员使用：

• 机密 DoS 保护配置文件
• 侦测保护（在区域保护配置文件中配置）
• 数据包缓冲区保护 （PBP）
• 漏洞防护 （使用“阻止 IP”操作）