如何缓解“flow_policy_deny”全局计数器的异常增加
11690
Created On 07/26/23 16:00 PM - Last Modified 11/03/23 19:44 PM
Objective
为了减轻异常增加流策略拒绝全球计数器。
Environment
- 下一代防火墙
- DP 丢包
- 流策略拒绝
Procedure
- 确定会话被拒绝增加的流量来源:
- 检查流量日志:监控 > 日志 > 流量并使用搜索过滤器(动作 eq 拒绝)。
- 如果您的搜索结果为空,则意味着您很可能需要启用拒绝流量的安全策略的日志记录。 该安全策略可能是域间默认值您需要重写才能启用会话结束时登录和/或开始。
- 检查 ACC 选项卡: ACC并使用操作拒绝过滤器。
- 检查流量日志:监控 > 日志 > 流量并使用搜索过滤器(动作 eq 拒绝)。
- 如果流量在慢速路径阶段被拒绝,即在防火墙识别流量的应用程序之前,请参阅如何缓解因安全策略在慢路径阶段拒绝的流量增加而导致的高 DP CPU 问题。
- 如果流量在快速路径阶段被防火墙识别出流量的应用程序后被拒绝,则:
- 检查防火墙是否无法正确识别流量应用程序:
- 如果应用程序未正确识别,则:
- 确保防火墙具有最新的内容/应用程序版本。 参考安装内容更新更多细节。
- 如果内容/应用程序版本是最新的,则如果该应用程序之前已被识别,并且在升级到最新内容/应用程序后停止被识别,则联系 Palo Alto Networks 支持人员报告此问题并把它修好。
- 如果未识别的应用程序不属于 Palo Alto Networks 当前识别的应用程序的一部分,请参阅如何请求新的 App-ID为了将该应用程序签名添加到可以签入的帕洛阿尔托网络应用程序数据库应用百科。
- 如果应用程序被正确识别,但其名称已更改,则检查“查看内容版本中新增和修改的 App-ID “了解如何更改防火墙配置以适应该更改。
- 如果被拒绝的流量是应该允许的受信任流量并且具有受信任的应用程序,那么如果需要,请考虑配置应用程序覆盖允许此流量的策略(请注意,应用程序覆盖会禁用所有安全检查)。
- 如果应用程序未正确识别,则:
- 检查防火墙是否无法正确识别流量应用程序:
- 除了错误识别的流量应用程序之外,其他原因也可能导致流量命中错误的规则,从而被错误地拒绝,这些原因可以是但不限于:错误的路由配置、安全规则的优先级错误、应用于流量的 NAT 策略的错误配置等......为了能够识别这些原因,您可以搜索活动的丢弃会话:
show session all filter type flow state discard
识别具有大量拒绝会话/数据包的流量的会话 ID,然后打印会话详细信息:show session id <session-id>
如果需要进一步的帮助来确定流量遇到错误安全策略的原因,请联系支持人员。
Additional Information
23 年 7 月 26 日 - 内容已由 SME 以解析路径格式创建。 KDE 已向 AIOps 授予此格式类型的权限。 KB将在AIOps中使用和引用。 如果需要任何更改,请联系 KDE 或在 #Knowledgebase Slack 频道中留言,或发送电子邮件至 gcs-knowledge@paloaltonetworks.com