Comment atténuer le problème de CPU DP élevé en raison d’une augmentation du flux de trafic refusé au stade slowpath par une stratégie de sécurité

• Pare-feu De Palo Alto
• Processeur DP
• Stratégie de sécurité avec refus d’action
• Chemin lent de l’écoulement

1. Identifiez la source du trafic qui connaît une augmentation de sa session refusée :
   1. Vérifiez les journaux de trafic: Surveillez > journaux > trafic et utilisez le filtre de recherche (action eq deny).
      1. Si votre recherche est vide, cela signifie que vous devrez probablement activer la journalisation de la stratégie de sécurité qui refuse le trafic. Cette stratégie de sécurité peut éventuellement être la valeur par défaut interzone que vous devez remplacer pour activer le journal à la fin de session et/ou au démarrage.
   2. Vérifiez l’onglet ACC : ACC et utilisez le filtre de refus d’action.
      1. 
2. Déterminez l’éligibilité du trafic refusé :
   1. Si le trafic est éligible et n'aurait pas dû être refusé par le FW :
      1. Créez une stratégie de sécurité pour ce trafic dont l’action autorise ou alerte et appliquez-lui le profil de sécurité approprié.
      2. ou Modifiez le chemin du trafic afin qu'il ne traverse pas le pare-feu.
   2. Si le trafic n’est pas éligible :
      1. Essayez d’arrêter le trafic à sa source ou plus près de sa source.
      2. Sinon, utilisez la stratégie de protection DOS pour protéger le pare-feu contre ce trafic incriminé.
         1. Si la ou les adresses IP du contrevenant sont connues, créez une stratégie de protection DOS : POLITIQUES > Protection DoS Vous devez être en mesure de définir les zones source et de destination et les adresses IP ainsi que le port de service afin de pouvoir définir l’action sur Refuser sans affecter les autres trafics éligibles.
         2. Si l’adresse IP du contrevenant est inconnue et que le service de port est inconnu, créez une stratégie de protection DOS avec l’option Classifié activée, l’action définie sur Protéger et attachez-y un profil de protection DOS.

Dans l’exemple ci-dessus, l’adresse est définie sur ip-source uniquement , l’autre option valide serait de la définir sur src-dest-ip-both pour plus de détails sur les raisons pour lesquelles ces deux options sont les seules valides dans ce cas, reportez-vous à Utilisation élevée du descripteur sur puce et de la mémoire tampon de paquets en raison d’un refus de stratégie entraînant une latence du trafic et des baisses (étape d’atténuation 4). En ce qui concerne la protection contre les inondations à activer et à configurer sous le profil de protection DOS qui serait basée sur vos conclusions de l’étape 1 si, par exemple, le trafic refusé est un trafic UDP, activez l’inondation UDP.

3. Il est toujours recommandé d'activer la protection de la mémoire tampon des paquets globalement sous Configuration > session du périphérique > et par zone sous Zones > réseau.

Pour plus de détails et d’explications sur le comportement du pare-feu et son impact lorsqu’un processeur DP élevé est causé par une augmentation du flux de trafic refusé par une stratégie de sécurité, reportez-vous à : Utilisation élevée du descripteur sur puce et de la mémoire tampon de paquets en raison du refus de stratégie entraînant une latence et des baisses de trafic.
Pour plus de détails sur la séquence de flux de paquets et l’étape de chemin lent, reportez-vous à Séquence de flux de paquets dans PAN-OS .