Cómo mitigar el problema de CPU de DP alto debido a un aumento en el flujo de tráfico denegado en la etapa de ruta lenta por una directiva de seguridad

• Palo Alto Firewall
• DP CPU
• Política de seguridad con acción denegada
• Flujo lentopath

1. Identifique el origen del tráfico que experimenta un aumento en su sesión denegada:
   1. Compruebe los registros de tráfico: Supervise > registros > tráfico y utilice el filtro de búsqueda ( action eq deny).
      1. En caso de que su búsqueda aparezca vacía, eso significa que lo más probable es que deba habilitar el registro en la política de seguridad que está denegando el tráfico. Esta directiva de seguridad puede ser posiblemente el valor predeterminado entre zonas que debe invalidar para habilitar el registro al final de la sesión o al iniciar.
   2. Compruebe la pestaña ACC: ACC y utilice el filtro de denegación de acción.
      1. 
2. Determine la elegibilidad del tráfico denegado:
   1. Si el tráfico es elegible y no debería haber sido denegado por el FW:
      1. Cree una directiva de seguridad para este tráfico que tenga una acción permitir o alertar y aplíquele el perfil de seguridad adecuado.
      2. o Cambie la ruta del tráfico para que no atraviese el firewall.
   2. Si el tráfico no es elegible:
      1. Intente detener el tráfico en su origen o más cerca de su origen.
      2. De lo contrario, utilice la directiva de protección de DOS para proteger el firewall contra este tráfico ofensivo.
         1. Si se conocen las IP del infractor, cree una directiva de protección de DOS: POLÍTICAS > Protección DoS debe poder definir las zonas e IP de origen y destino, así como el puerto de servicio para que pueda establecer la acción en Denegar sin afectar a otro tráfico elegible.
         2. Si la IP del infractor es desconocida y el servicio de puerto es desconocido, cree una directiva de protección de DOS con la opción Clasificado habilitada, la acción establecida en Proteger y adjúntele un perfil de protección de DOS.

En el ejemplo que se muestra arriba, la dirección se establece en source-ip-only, la otra opción válida sería establecerla en src-dest-ip-both para obtener más detalles sobre por qué esas dos opciones son las únicas válidas, en este caso, consulte High on-chip descriptor y uso de búfer de paquetes debido a la denegación de la política, lo que resulta en latencia de tráfico y caídas (paso de mitigación 4). En cuanto a qué protección contra inundaciones habilitar y configurar en el perfil de protección de DOS que se basaría en sus hallazgos en el paso 1 si, por ejemplo, el tráfico denegado es un tráfico UDP, habilite la inundación UDP.

3. Como práctica recomendada y para proteger los recursos del firewall, siempre se recomienda habilitar la protección del búfer de paquetes globalmente en Configuración de > de dispositivo > Configuración de sesión y por zona en Zonas > de red.

Para obtener más detalles y explicaciones sobre el comportamiento del firewall y su impacto cuando la CPU DP alta es causada por un aumento en el flujo de tráfico denegado por una política de seguridad, consulte: Alto descriptor en chip y uso de búfer de paquetes debido a la denegación de la política, lo que resulta en latencia y caídas del tráfico.
Para obtener más detalles sobre la secuencia de flujo de paquetes y la etapa de ruta lenta, consulte Secuencia de flujo de paquetes en PAN-OS .