如何缓解由于安全策略在慢速路径阶段拒绝的流量增加而导致的高 DP CPU 问题

• 帕洛阿尔托防火墙
• 处理器
• 具有拒绝操作的安全策略
• 流慢路径

1. 确定其会话被拒绝的流量增加的来源：
   1. 查看流量日志：监控 > 日志 > 流量并使用搜索过滤器（行动情商拒绝）。
      1. 如果您的搜索结果为空，则意味着您很可能需要在拒绝流量的安全策略上启用日志记录。 此安全策略可能是区间默认值您需要重写以启用在会话结束时登录和/或开始.
   2. 检查 ACC 选项卡：行政协调委员会并使用动作拒绝过滤器。
      1. 
2. 确定被拒绝流量的资格：
   1. 如果流量符合条件并且不应被 FW 拒绝：
      1. 为此具有操作的流量创建安全策略允许或者警报并为其应用适当的安全配置文件。
      2. 或更改流量路径，使其不穿过防火墙。
   2. 如果流量不符合条件：
      1. 尝试在其源头或靠近其源头的地方停止流量。
      2. 否则，使用 DOS 保护策略来保护防火墙免受这种违规流量的侵害。
         1. 如果攻击者 IP 已知，则创建一个DOS保护策略:策略 > DoS 保护您需要能够定义源和目标区域和 IP 以及服务端口，以便您可以将操作设置为否定不影响其他符合条件的流量。
         2. 如果攻击者 IP 未知且端口服务未知，则创建一个 DOS 保护策略分类选项已启用，操作设置为保护并附上DOS 保护配置文件给它。

在上面显示的示例中，地址设置为仅源IP另一个有效的选择是将其设置为src-dest-ip-both有关为什么这两个选项在这种情况下唯一有效的更多详细信息，请参阅由于策略拒绝导致流量延迟和丢弃，片上描述符和数据包缓冲区使用率较高（缓解步骤 4）。 至于在 DOS 保护配置文件下启用和配置哪个防洪保护将基于您在步骤 1 中的发现，例如，如果被拒绝的流量是 UDP 流量，则启用UDP泛洪.

3. 作为最佳实践并为了保护防火墙的资源，始终建议启用数据包缓冲区保护全球范围内设备 > 设置 > 会话设置和每个区域下网络 > 区域.

有关防火墙行为的更多详细信息和解释及其在高 DP CPU 是由安全策略拒绝的流量增加引起时的影响，请参阅：由于策略拒绝导致流量延迟和丢弃，片上描述符和数据包缓冲区使用率较高。
有关数据包流序列和慢速路径阶段的更多详细信息，请参阅PAN OS 中的数据包流序列.