So entschärfen Sie das Problem mit einer hohen DP-CPU aufgrund eines erhöhten Datenverkehrsflusses, der in der Slowpath-Phase durch eine Sicherheitsrichtlinie verweigert wird

• Palo Alto Firewall
• DP-CPU
• Sicherheitsrichtlinie mit Aktion verweigern
• Langsamer Pfad des Flusses

1. Identifizieren Sie die Quelle des Datenverkehrs, bei dem ein Anstieg der Sitzung verweigert wird:
   1. Überprüfen Sie die Datenverkehrsprotokolle: Überwachen Sie > Protokolle > Datenverkehrs und verwenden Sie den Suchfilter (Aktion eq deny).
      1. Falls Ihre Suche leer ist, bedeutet dies, dass Sie höchstwahrscheinlich die Protokollierung für die Sicherheitsrichtlinie aktivieren müssen, die den Datenverkehr verweigert. Diese Sicherheitsrichtlinie kann möglicherweise der Interzonen-Standard sein, den Sie außer Kraft setzen müssen, um das Protokoll am Ende und/oder Anfang der Sitzung zu aktivieren.
   2. Überprüfen Sie die Registerkarte ACC: ACC und verwenden Sie den Filter zum Verweigern der Aktion.
      1. 
2. Bestimmen Sie die Berechtigung des verweigerten Datenverkehrs:
   1. Wenn der Datenverkehr berechtigt ist und nicht von der FW hätte abgelehnt werden dürfen:
      1. Erstellen Sie eine Sicherheitsrichtlinie für diesen Datenverkehr mit Aktion, Zulassung oder Warnung, und wenden Sie das richtige Sicherheitsprofil darauf an.
      2. oder Ändern Sie den Pfad des Datenverkehrs, damit er die Firewall nicht durchläuft.
   2. Wenn der Datenverkehr nicht berechtigt ist:
      1. Versuchen Sie, den Datenverkehr an der Quelle oder näher an der Quelle zu stoppen.
      2. Andernfalls verwenden Sie die DOS-Schutzrichtlinie, um die Firewall vor diesem anstößigen Datenverkehr zu schützen.
         1. Wenn die IP-Adresse(n) des Täters bekannt ist/sind, erstellen Sie eine DOS-Schutzrichtlinie: RICHTLINIEN > DoS-Schutz müssen Sie in der Lage sein, die Quell- und Zielzonen und IP-Adressen sowie den Service-Port zu definieren, damit Sie die Aktion auf Verweigern setzen können, ohne anderen berechtigten Datenverkehr zu beeinträchtigen.
         2. Wenn die IP-Adresse des Angreifers unbekannt ist und der Portdienst unbekannt ist, erstellen Sie eine DOS-Schutzrichtlinie mit aktivierter Option " Klassifiziert ", setzen Sie die Aktion auf "Schützen" und fügen Sie ein DOS-Schutzprofil hinzu.

Im oben gezeigten Beispiel ist die Adresse auf source-ip-only gesetzt, die andere gültige Option wäre, sie auf src-dest-ip-both zu setzen. Weitere Informationen darüber, warum diese beiden Optionen in diesem Fall die einzigen sind, finden Sie unter Hohe On-Chip-Deskriptor- und Paketpuffernutzung aufgrund von Richtlinienverweigerung, die zu Datenverkehrslatenz und -verlusten führt (Mitigation, Schritt 4). Welcher Flood-Schutz unter dem DOS-Schutzprofil aktiviert und konfiguriert werden soll, basiert auf Ihren Ergebnissen in Schritt 1, wenn es sich beispielsweise bei dem verweigerten Datenverkehr um einen UDP-Datenverkehr handelt, aktivieren Sie die UDP-Flood.

3. Als Best Practice und um die Ressourcen der Firewall zu schützen, wird immer empfohlen, den Paketpufferschutz global unter Device > Setup > Session Settings und pro Zone unter Network > Zones zu aktivieren.

Weitere Details und Erläuterungen zum Verhalten der Firewall und ihren Auswirkungen, wenn eine hohe DP-CPU durch einen Anstieg des Datenverkehrsflusses verursacht wird, der durch eine Sicherheitsrichtlinie verweigert wird, finden Sie unter: Hohe Auslastung des On-Chip-Deskriptors und des Paketpuffers aufgrund der Richtlinienverweigerung, die zu Datenverkehrslatenz und -verlusten führt.
Weitere Informationen zur Paketflusssequenz und zur Slowpath-Phase finden Sie unter Paketflusssequenz in PAN-OS .