セキュリティ ポリシーによってスローパス段階で拒否されるトラフィック フローの増加による高 DP CPU の問題を軽減する方法

• パロアルト ファイアウォール
• DP CPU
• アクション拒否を含むセキュリティ ポリシー
• フロースローパス

1. 拒否されるセッションが増加しているトラフィックの送信元を特定します。
   1. トラフィック ログを確認します。監視 > ログ > トラフィックそして検索フィルターを使用してください(アクションと拒否)。
      1. 検索結果が空の場合は、トラフィックを拒否しているセキュリティ ポリシーのログを有効にする必要がある可能性が高いことを意味します。 このセキュリティ ポリシーは、おそらくゾーン間デフォルトを有効にするにはオーバーライドする必要がありますセッション終了時のログおよび/または始める。
   2. [ACC] タブを確認します。 ACCそして、アクション拒否フィルターを使用します。
      1. 
2. 拒否されたトラフィックの適格性を判断します。
   1. トラフィックが適格であり、FW によって拒否されるべきではない場合:
      1. アクションのあるこのトラフィックのセキュリティ ポリシーを作成します許可するまた警告適切なセキュリティ プロファイルをそれに適用します。
      2. または、ファイアウォールを通過しないようにトラフィックのパスを変更します。
   2. トラフィックが対象外の場合:
      1. トラフィックをソースまたはソースに近い場所で停止しようとします。
      2. それ以外の場合は、DOS 保護ポリシーを使用して、この問題のあるトラフィックからファイアウォールを保護します。
         1. 攻撃者の IP がわかっている場合は、 DOS保護ポリシー:ポリシー > DoS 保護アクションを次のように設定できるように、送信元ゾーンと宛先ゾーン、IP、およびサービス ポートを定義できる必要があります。拒否他の対象トラフィックに影響を与えることなく。
         2. 攻撃者の IP が不明で、ポート サービスも不明な場合は、次のように DOS 保護ポリシーを作成します。機密扱いオプションが有効、アクションが に設定されている守るそして、 DOS保護プロファイルそれに。

上に示した例では、アドレスは次のように設定されています。ソースIPのみ他の有効なオプションは、次のように設定することです。 src-dest-ip-両方この場合、これら 2 つのオプションのみが有効である理由の詳細については、を参照してください。ポリシー拒否によるオンチップ記述子とパケット バッファの使用率が高く、トラフィックの遅延とドロップが発生する(緩和ステップ 4)。 DOS 保護プロファイルでどのフラッド保護を有効にして設定するかについては、ステップ 1 での調査結果に基づいて、たとえば拒否されたトラフィックが UDP トラフィックである場合は、 UDP フラッド。

3. ベスト プラクティスとして、ファイアウォールのリソースを保護するために、常に有効にすることをお勧めします。パケットバッファ保護グローバルにデバイス > セットアップ > セッション設定そしてゾーンごとにネットワーク > ゾーン。

セキュリティ ポリシーによって拒否されたトラフィック フローの増加によって高 DP CPU が発生した場合のファイアウォールの動作とその影響の詳細と説明については、以下を参照してください。ポリシー拒否によるオンチップ記述子とパケット バッファの使用率が高く、トラフィックの遅延とドロップが発生します。
パケット フロー シーケンスとスローパス ステージの詳細については、「」を参照してください。 PAN-OS のパケット フロー シーケンス。