So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_policy_deny"

So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_policy_deny"

11717
Created On 07/26/23 16:00 PM - Last Modified 11/03/23 19:44 PM


Objective


Um einen abnormalen Anstieg flow_policy_deny globalen Zählers abzumildern.

Environment


  • Firewall der nächsten Generation
  • DP-Paketverwerfung
  • flow_policy_deny

Procedure


  1. Identifizieren Sie die Quelle des Datenverkehrs, bei dem ein Anstieg der Sitzung verweigert wird:
    1. Überprüfen Sie die Datenverkehrsprotokolle: Überwachen Sie > Protokolle > Datenverkehrs und verwenden Sie den Suchfilter (Aktion eq deny).
      1. Falls Ihre Suche leer ist, bedeutet dies, dass Sie höchstwahrscheinlich die Protokollierung für die Sicherheitsrichtlinie aktivieren müssen, die den Datenverkehr verweigert. Diese Sicherheitsrichtlinie kann möglicherweise der Interzonen-Standard sein, den Sie außer Kraft setzen müssen, um das Protokoll am Ende und/oder Anfang der Sitzung zu aktivieren.
    2. Überprüfen Sie die Registerkarte ACC: ACC und verwenden Sie den Filter zum Verweigern der Aktion.
  2. Wenn der Datenverkehr in der Phase des langsamen Pfads abgelehnt wird, d. h. vor der Identifizierung der Anwendung des Datenverkehrs durch die Firewall, finden Sie weitere Informationen unter So entschärfen Sie das Problem mit der CPU mit hohem DP aufgrund einer Zunahme des Datenverkehrsflusses, der in der Slowpath-Phase durch eine Sicherheitsrichtlinie verweigert wird.
  3. Wenn der Datenverkehr in der Fast-Path-Phase und nach der Identifizierung der Anwendung des Datenverkehrs durch die Firewall abgelehnt wird, gilt Folgendes:
    1. Überprüfen Sie, ob die Firewall die Datenverkehrsanwendung nicht korrekt erkennt:
      1. Wenn die Anwendung nicht korrekt identifiziert wird, gilt Folgendes:
        1. Stellen Sie sicher, dass die Firewall über die neueste Inhalts-/Anwendungsversion verfügt. Weitere Informationen finden Sie unter Installieren des Inhaltsupdates .
        2. Wenn es sich bei der Inhalts-/Anwendungsversion um die neueste Version handelt, die Anwendung zuvor identifiziert wurde und nach dem Upgrade auf den neuesten Inhalt/die neueste Anwendung nicht mehr identifiziert wird, wenden Sie sich an den Palo Alto Networks-Support, um dieses Problem zu melden und zu beheben.
        3. Wenn es sich bei der nicht identifizierten Anwendung um eine Anwendung handelt, die nicht Teil der aktuell von Palo Alto Networks identifizierten Anwendungen ist, lesen Sie So fordern Sie eine neue App-ID an , um diese Anwendungssignatur zur Anwendungsdatenbank von Palo Alto Networks hinzuzufügen, die in Applipedia überprüft werden kann.
      2. Wenn die Anwendung korrekt identifiziert wurde, sich aber ihr Name geändert hat, aktivieren Sie die Option "Neue und geänderte App-IDs in einer Inhaltsversion anzeigen", um zu erfahren, wie Sie Ihre Firewallkonfiguration ändern können, um diese Änderung zu berücksichtigen.
      3. Wenn es sich bei dem Datenverkehr, der abgelehnt wird, um einen vertrauenswürdigen Datenverkehr handelt, der zugelassen werden sollte und über eine vertrauenswürdige Anwendung verfügt, sollten Sie bei Bedarf die Konfiguration einer Anwendungsaußerkraftsetzungsrichtlinie in Betracht ziehen, die diesen Datenverkehr zulässt (Beachten Sie, dass app-override alle Sicherheitsüberprüfungen deaktiviert).
  4. Andere Gründe als eine falsch identifizierte Datenverkehrsanwendung können hinter dem Datenverkehr stehen, der die falsche Regel trifft und daher fälschlicherweise abgelehnt wird, diese Gründe können sein, sind aber nicht beschränkt auf: falsche Routing-Konfiguration, falsche Priorisierung der Sicherheitsregeln, falsche Konfiguration der NAT-Richtlinie, die auf den Datenverkehr angewendet wird, usw. Um diese Gründe zu identifizieren, können Sie die aktiven verworfenen Sitzungen durchsuchen: 
    show session all filter type flow state discard
    Identifizieren Sie die Sitzungs-ID des Datenverkehrs, der eine hohe Anzahl von verweigerten Sitzungen/Paketen aufweist, und geben Sie dann die Sitzungsdetails aus: 
    show session id <session-id>
    Wenn weitere Hilfe benötigt wird, um den Grund zu ermitteln, warum ein Datenverkehr auf die falsche Sicherheitsrichtlinie trifft, wenden Sie sich an den Support.
     

Additional Information


26.07.23 - Der Inhalt wurde von einem KMU in einem Auflösungspfadformat erstellt. KDE hat die Berechtigung für diesen Formattyp für AIOps erteilt. KB wird in AIOps verwendet und referenziert. Wenn Änderungen erforderlich sind, wenden Sie sich bitte an ein KDE oder eine Nachricht im #Knowledgebase Slack-Kanal oder senden Sie eine E-Mail an gcs-knowledge@paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bqbiCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language