Comment atténuer une augmentation anormale du compteur mondial « flow_policy_deny »
11733
Created On 07/26/23 16:00 PM - Last Modified 11/03/23 19:44 PM
Objective
Pour atténuer une augmentation anormale de flow_policy_deny compteur mondial.
Environment
- Pare-feu nouvelle génération
- Perte de paquets DP
- flow_policy_deny
Procedure
- Identifiez la source du trafic qui connaît une augmentation de sa session refusée :
- Vérifiez les journaux de trafic: Surveillez > journaux > trafic et utilisez le filtre de recherche (action eq deny).
- Si votre recherche est vide, cela signifie que vous devrez probablement activer la journalisation de la stratégie de sécurité qui refuse le trafic. Cette stratégie de sécurité peut éventuellement être la valeur par défaut interzone que vous devez remplacer pour activer le journal à la fin de session et/ou au démarrage.
- Vérifiez l’onglet ACC : ACC et utilisez le filtre de refus d’action.
- Vérifiez les journaux de trafic: Surveillez > journaux > trafic et utilisez le filtre de recherche (action eq deny).
- Si le trafic est refusé au stade du chemin lent, c'est-à-dire avant l'identification de l'application du trafic par le pare-feu, reportez-vous à Comment atténuer le problème de CPU DP élevé en raison d'une augmentation du flux de trafic refusé au stade de chemin lent par une stratégie de sécurité.
- Si le trafic est refusé au stade du chemin rapide et après l'identification de l'application du trafic par le pare-feu, alors :
- Vérifiez si le pare-feu n’identifie pas correctement l’application de trafic :
- Si l’application n’est pas correctement identifiée, alors:
- Assurez-vous que le pare-feu dispose de la dernière version du contenu/de l’application. Reportez-vous à la section Mettre à jour le contenu de l’installation pour plus de détails.
- Si la version du contenu/de l’application est la plus récente, si l’application a déjà été identifiée et a cessé d’être identifiée après la mise à niveau vers le dernier contenu/application, contactez le support Palo Alto Networks pour signaler ce problème et le résoudre.
- Si l’application non identifiée est une application qui ne fait pas partie des applications actuellement identifiées par Palo Alto Networks, reportez-vous à Comment demander un nouvel ID d’application afin d’ajouter cette signature d’application à la base de données des applications de Palo Alto Networks qui peut être vérifiée dans Applipedia.
- Si l’application est correctement identifiée mais que son nom a changé, cochez la case « Voir les ID d’application nouveaux et modifiés dans une version de contenu » pour savoir comment modifier la configuration de votre pare-feu pour tenir compte de cette modification.
- Si le trafic refusé est un trafic approuvé qui doit être autorisé et dispose d’une application approuvée, envisagez si nécessaire la configuration d’une stratégie de remplacement d’application qui autorisera ce trafic (Notez que le remplacement des applications désactive toutes les inspections de sécurité).
- Si l’application n’est pas correctement identifiée, alors:
- Vérifiez si le pare-feu n’identifie pas correctement l’application de trafic :
- D’autres raisons qu’une application de trafic mal identifiée peuvent être derrière le trafic frappant la mauvaise règle et donc être refusé à tort, ces raisons peuvent être, mais sans s’y limiter: mauvaise configuration de routage, mauvaise priorisation des règles de sécurité, mauvaise configuration de la politique NAT appliquée au trafic, etc. Pour être en mesure d’identifier ces raisons, vous pouvez rechercher les sessions actives ignorées:
show session all filter type flow state discard
Identifiez l’ID de session du trafic qui a un nombre élevé de sessions / paquets refusés, puis imprimez les détails de la session:show session id <session-id>
Si une aide supplémentaire est nécessaire pour identifier la raison pour laquelle un trafic frappe la mauvaise stratégie de sécurité, contactez le support.
Additional Information
26/07/23 - Le contenu a été créé par une PME dans un format de chemin de résolution. KDE a accordé l’autorisation pour ce type de format pour AIOps. KB sera utilisé et référencé dans AIOps. Si des modifications sont nécessaires, veuillez contacter un KDE ou envoyer un message dans le canal Slack #Knowledgebase, ou envoyer un e-mail gcs-knowledge@paloaltonetworks.com