Cómo mitigar un aumento anormal en el contador global "flow_policy_deny"

Cómo mitigar un aumento anormal en el contador global "flow_policy_deny"

11717
Created On 07/26/23 16:00 PM - Last Modified 11/03/23 19:44 PM


Objective


Para mitigar un aumento anormal en flow_policy_deny contador global.

Environment


  • Firewall de próxima generación
  • Caída de paquetes DP
  • flow_policy_deny

Procedure


  1. Identifique el origen del tráfico que experimenta un aumento en su sesión denegada:
    1. Compruebe los registros de tráfico: Supervise > registros > tráfico y utilice el filtro de búsqueda ( action eq deny).
      1. En caso de que su búsqueda aparezca vacía, eso significa que lo más probable es que deba habilitar el registro en la política de seguridad que está denegando el tráfico. Esta directiva de seguridad puede ser posiblemente el valor predeterminado entre zonas que debe invalidar para habilitar el registro al final de la sesión o al iniciar.
    2. Compruebe la pestaña ACC: ACC y utilice el filtro de denegación de acción.
  2. Si el tráfico se deniega en la etapa de ruta lenta, es decir, antes de la identificación de la aplicación del tráfico por parte del firewall, consulte Cómo mitigar el problema de CPU DP alta debido a un aumento en el flujo de tráfico denegado en la etapa de ruta lenta por una política de seguridad.
  3. Si el tráfico se deniega en la etapa de ruta rápida y después de la identificación de la aplicación del tráfico por el firewall, entonces:
    1. Compruebe si el firewall no identifica correctamente la aplicación de tráfico:
      1. Si la aplicación no se identifica correctamente, entonces:
        1. Asegúrese de que el firewall tenga la última versión de contenido/aplicación. Consulte Instalar actualización de contenido para obtener más detalles.
        2. Si la versión del contenido/aplicación es la más reciente, si la aplicación se identificó previamente y dejó de identificarse después de la actualización al último contenido/aplicación, comuníquese con el soporte técnico de Palo Alto Networks para informar este problema y solucionarlo.
        3. Si la aplicación no identificada es una aplicación que no forma parte de las aplicaciones identificadas actualmente por Palo Alto Networks, consulte Cómo solicitar un nuevo App-ID para agregar esa firma de aplicación a la base de datos de aplicaciones de Palo Alto Networks que se puede verificar en Applipedia.
      2. Si la aplicación está identificada correctamente pero su nombre ha cambiado, marque "Ver los ID de aplicación nuevos y modificados en una versión de contenido" para saber cómo cambiar la configuración de su firewall para adaptarse a ese cambio.
      3. Si el tráfico que se deniega es un tráfico de confianza que debe permitirse y tiene una aplicación de confianza, si es necesario, considere la configuración de una directiva de anulación de aplicaciones que permita este tráfico (tenga en cuenta que la anulación de aplicaciones deshabilita toda inspección de seguridad).
  4. Otras razones además de una aplicación de tráfico mal identificada pueden estar detrás de que el tráfico golpee la regla incorrecta y, por lo tanto, se deniegue erróneamente, esas razones pueden ser, entre otras: configuración de enrutamiento incorrecta, priorización incorrecta de las reglas de seguridad, configuración incorrecta de la política NAT aplicada al tráfico, etc. Para poder identificar esas razones, puede buscar las sesiones descartadas activas: 
    show session all filter type flow state discard
    Identifique el ID de sesión del tráfico que tiene una gran cantidad de sesiones / paquetes denegados y luego imprima los detalles de la sesión: 
    show session id <session-id>
    Si se necesita más ayuda para identificar la razón por la que un tráfico está afectando a la política de seguridad incorrecta, póngase en contacto con el soporte técnico.
     

Additional Information


7/26/23 - El contenido ha sido creado por una PYME en un formato de ruta de resolución. KDE ha concedido permiso para este tipo de formato para AIOps. KB se utilizará y se hará referencia a él en AIOps. Si se necesita algún cambio, póngase en contacto con un KDE o un mensaje en el canal de #Knowledgebase Slack o envíe un correo electrónico a gcs-knowledge@paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bqbiCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language