Comment atténuer le problème élevé DP CPU dû à une utilisation élevée des applications

• Palo Alto (Palo Alto) Firewall
• DP CPU
• Utilisation de l’application

1. Identifiez les ports, la source IP et la destination IP utilisés par cette application.
   1. Accédez à votre FW UI Surveiller > Journaux > trafic.
   2. Filtrer selon : (app eq <nom de l’application>)
2. Consultez applipedia pour en savoir plus sur l’application à forte utilisation et sur ses ports standard.
3. Vérifiez si l’augmentation ou le pic de trafic de cette application est attendu ou non dans votre réseau :
   1. Si prévu, envisagez :
      1. Modification du chemin réseau de ce trafic pour contourner le FWfichier .
      2. Modification de la configuration ou des paramètres de la source de trafic pour réduire la quantité de ce trafic.
      3. Changer l’heure prévue de ce flux de trafic si possible pour être en dehors des heures de pointe.
      4. Configurer et appliquer la QoS pour limiter l'impact FWfutur du trafic de cette application sur les ressources de
   2. En cas d’imprévu, alors :
      1. Éliminez le trafic de votre réseau.
      2. Empêchez le trafic d’atteindre votre FWfichier .
      3. Utilisez la zone et DOS la FW protection contre le trafic d’application incriminé.
4. Vérifiez si vos FW supports HW se déchargent; Si c’est le cas, vérifiez si le déchargement est activé.    
   1. Hardware Le déchargement est pris en charge sur les pare-feu suivants : PA-3200 Series, Series, PA-5200 PA-7000 Series et PA-5450 firewall.
   2. Pour vérifier si HW le déchargement est activé.

      > show session info | match offload 

   3. Pour activer le HW déchargement

      > set session offload yes

   4. Les VM-FW de série exécutant la version 10.1.0 et ultérieure peuvent prendre en charge le déchargement intelligent du trafic.
   5. A session qui n’envoie plus de paquets au pour le traitement L7, est considérée comme déchargée et le processus layer7 s’affiche CPU comme terminé dans la sortie de :

      > show session id <id#> 

5. Vérifiez si le nombre total de sessions pendant le high DP CPU a dépassé les sessions prises en charge par votre FW plate-forme.Si un tel nombre de sessions est attendu, envisagez de mettre à niveau vos FW plates-formes vers des plates-formes de plus grande capacité.
6. Si le trafic est légitime, attendu et fiable, alors :
   1. Ajoutez une règle de sécurité au-dessus de la règle actuelle qu’elle frappe, mais avec moins de profils de sécurité policy activés dans l’onglet Actions de la règle ; ou,
   2. Cochez la case (désactiver l’inspection de la réponse du serveur) dans la règle de sécurité policy qui autorise uniquement ce trafic d’application Cela désactivera l’inspection de couche 7 dans la DSRI direction serveur-client du flux de trafic et ne doit être configuré que sur les règles où le trafic du serveur est approuvé ; ou,
   3. Envisagez d’utiliser un remplacement d’application pour ce trafic afin de réduire la charge sur les DP ressources. Gardez à l’esprit que cela signifie que ce trafic contournerait l’inspection du contenu. Le remplacement des applications doit être une solution de dernier recours et n’être utilisé que comme approche temporaire pour réduire l’utilisation CPU .
7. En plus des étapes ci-dessus et en fonction de l’application soupçonnée d’être à l’origine de la vérification élevéeDP CPU, les étapes ou les notes énumérées ci-dessous relatives à chaque application: syslog, paloalto-logging-service, unknown-udp, meraki-cloud-controller, ssl, dns-base, crowdstrike, paloalto-updates, google-base, open-vpn, ping, vmware, ms-ds-smbv2, ms-ds-smbv3, ipsec-esp-udp, ms-update, netflow, rtsp, rtp-base, rtcp, navigation web, panorama.

1. Syslog
   1. Si le trafic syslog provient du , envisagez de réduire ce trafic en modifiant la FW FW configuration.
   2. Si vos FW journaux sont déjà envoyés à , envisagez d’envoyer des journaux au serveur syslog Panorama à partir de au lieu de directement à Panoramapartir de Firewall.

Remarque1: En regardant le début de la session dans les journaux de trafic, vérifiez si la session syslog a été de très longue durée (peut-être des jours ou même des semaines) et s'est récemment fermée, cela pourrait alors montrer un pic dans l'utilisation de l ACC 'application syslog alors attendu et ne devrait pas être alarmant.
Remarque2 : Le refus du trafic syslog UDP peut entraîner une utilisation élevée DP des ressources . Il est préférable d’autoriser le trafic ou d’acheminer ce trafic pour contourner FW.

2. paloalto-logging-service
   1. Vérifiez si la source ou Panorama de ce trafic est correctement configurée et envisagez de réduire le nombre de journaux envoyés au Cortex lac de données (CDL) en fonction de la gravité du journal, du type de journal et de la FW ou des règles de sécurité policy consignées.
3. inconnu-udp
   1. Créez des applications personnalisées pour les applications non reconnues par le FW et identifiées comme inconnues-udp pour autoriser les applications légitimes, refusez les applications indésirables et, en fonction de la nature et de l’utilisation de la appou des applications, vérifiez si vous devez envisager de leur appliquer un remplacement d’application .
   2. Si une application a déjà été reconnue par le et a cessé d’être FW reconnue après une mise à jour de contenu, rétablissez la mise à jour de contenu et ouvrez un ticket de support pour signaler et résoudre ce problème.
4. meraki-cloud-controller
   1. Vérifiez si le trafic applicatif meraki-cloud-controller est approuvé dans votre réseau et si vous pouvez alors envisager de lui appliquer un remplacement d’application.
5. Ssl
   1. Le SSL trafic, s’il n’est pas déchiffré, est déchargé et ne devrait donc pas être le principal contributeur à l’utilisation élevée des ressources du plan de données si le nombre total de sessions reçues sur le FW est dans la limite de ce que la plate-forme prend en charge. Dans ce cas, il est recommandé d’étudier les autres applications à forte utilisation.
   2. Si SSL le trafic est déchiffré sur le firewall alors pendant la période de haute dp CPU vérifiez si la valeur dans la sortie de :

      > show session all filter ssl-decrypt yes count yes 

      dépasse à tout moment le nombre maximal de sessions de déchiffrement simultanées de la plate-forme et, le cas échéant, envisagez de modifier votre configuration pour réduire la quantité de trafic déchiffré en créant une règle d’exclusion de déchiffrement pour le trafic exempté de déchiffrement ou prévoyez de mettre à niveau votre FW firewall plate-forme vers une plate-forme de capacité supérieure.
6. dns-base
   1. Si l’augmentation ou le pic du trafic de base DNS s’avère malveillant ou inattendu sur votre réseau, comprenez les principales attaques basées sur DNS que votre organisation doit connaître et les moyens de les atténuer.
7. Crowdstrike
   1. Vérifiez si le trafic de l’application crowdstrike est approuvé dans votre réseau et si vous pouvez alors envisager de lui appliquer un remplacement d’application.
8. paloalto-mises à jour
   1. Planifiez les mises à jour en dehors des heures de pointe.
   2. Si vous envisagez d’utiliser une application de remplacement, basez ses règles sur les serveurs de mise à jour officiels de Palo Alto Networks.
9. Google-base
   1. Vérifiez la solution 5 ci-dessus. Sinon, si le nombre total de sessions se situe dans la limite prise en charge, envisagez d’examiner d’autres applications à forte utilisation.
10. open-vpn
    1. L’ouvert,VPN s’il n’est pas déchiffré, est déchargé et ne devrait donc pas être le principal contributeur à une utilisation élevée FW des ressources. Dans un scénario où le serveur open-vpn est assis derrière le , désactivez SSL le déchiffrement entrant pour ces connexions au niveau de , et laissez le serveur open-vpn effectuer le processus de firewalldéchiffrement seul ; une fois que le serveur open-vpn a déchiffré le trafic, transférez le firewalltrafic en texte clair au firewall pour inspection.
11. Ping
    1. Il y a au moins quatre zones dans la protection de la zone qui peuvent spécifiquement traiter le ICMP problème :
       1. Protection contre les inondations de ICMP / ICMPv6.
       2. Protection contre les attaques par paquets de ICMP / ICMPv6.
       3. Configurez la protection DoS.
       4. De toutes les solutions présentées ici, la protection de la mémoire tampon de paquets est la plus facile à mettre en œuvre parmi les trois.
12. Vmware
    1. Si du trafic est attendu, envisagez la solution présentée au point 3.a ci-dessus.
13. ms-ds-smbv2
    1. Cette application, si elle est reçue avec une quantité élevée par le FW peut potentiellement utiliser fortement ses ressources envisager de configurer un remplacement d’application pour ce trafic.
    2. Vérifiez si SMB vous utilisez la compression de fichiers en filtrant le trafic en fonction de cette application sous Surveiller > Capture de paquets, puis en émettant la commande ci-dessous à partir de CLI:

       > show counter global filter packet-filter yes delta yes | match zip

       Sur la base du résultat des compteurs, vous devriez être en mesure de conclure si le trafic est compressé et, si SMB oui, de le désactiver sur le SMB côté.Cela devrait réduire les CPU cycles pour SMB.
14. ms-ds-smbv3
    1. Palo Alto Networks recommande de désactiver SMB le fractionnement multicanal des fichiers via Windows PowerShell pour une protection et une inspection maximales des fichiers.
    2. Si vous voyez toujours Élevé DP CPU après l’étape n. A Utilisez ensuite la même approche que celle répertoriée pour MS-DS-SMBV2 ci-dessus.
15. IPSec-ESP-UDP
    1. Dépannage élevé DP CPU En raison du trafic IPsec pour vérifier si c'est la cause de l'euphorie DP CPU (trop d'encapsulation/décapsulation, d'opérations de tunnel, etc.) :
       Sachez que la configuration d'un chiffrement et/ou d'un algorithme de chiffrement de faible intensité sur le tunnel initié ou terminé sur le FW peut réduire FWla charge de traitement de VPN dans certains cas.
       Pour une grande quantité de trafic IPsec passant par le firewall provoquant une utilisation élevée DP CPU Comment dépanner un plan de données élevé CPU.
    2. Les sessions de trafic marquées comme l'application 'ipsec-esp-udp' peuvent également être les sessions de vos utilisateurs GlobalProtect VPN (port 4501) dans ce cas, assurez-vous que votre firewall configuration ne dépasse pas le nombre maximal de tunnels pris en charge et suivez les étapes qui peuvent être prises pour augmenter GlobalProtect VPN les performances en raison de l'augmentation du nombre de connexions GlobalProtect VPN Firewall  (Tirez parti de la fonction de tunnel fractionné, ne tunnelisez pas le trafic vidéo, supprimez les utilisateurs inactifs, etc.), ce qui réduira la quantité de ressources du plan de données utilisées par ces GlobalProtect VPN utilisateurs.
       Si nécessaire, reportez-vous GlobalProtect à la liste des ressources.
16. MS-mise à jour
    1. Vérifiez quelle est la raison possible de l’augmentation du trafic ms-update :
       1. A La mise à jour de Microsoft Windows devait avoir lieu en même temps pour plusieurs périphériques Windows de votre réseau.
       2. A grand groupe Policy a été poussé simultanément sur plusieurs appareils Windows en même temps par le département de IT votre entreprise.
    2. Appliquez la solution en fonction de la raison trouvée :
       1. Désactivez les mises à jour automatiques pour les ordinateurs de domaine et gérez plutôt les mises à jour Windows via Group Policy , en choisissant quand les diffuser de manière sélective.
       2. Planifiez les mises à jour Windows à un moment moins impactant en dehors des heures de pointe.
       3. Définissez un calendrier de mise à jour Windows échelonné afin que les périphériques Windows de votre réseau n’effectuent pas leurs mises à jour en même temps.
17. Flux net
    1. Qu’il s’agisse du destinataire ou de l’expéditeur du trafic netflow, vérifiez la configuration, sa sécurité policy autorisant ce trafic et la façon dont les compteurs de trafic netflow s’incrémentent lorsqu’ils FW sont reçus ou envoyés sur le plan de données ; utilisez CLI les FW commandes :FW 

       > debug log-receiver netflow statistics
       > debug dataplane netflow statistics
       > show counter global | match netflow

    2. Assurez-vous qu’il ne s’agit pas de recevoir ou d’envoyer des enregistrements Netflow à un débit anormal ou excessif, car cela pourrait indiquer une boucle de routage ou d’autres FW problèmes de configuration dans le , l’expéditeur FWou le réseau. Les enregistrements Netflow sont traités sur le FW DP ce qui signifie qu’un taux élevé de ce trafic, s’il est reçu ou envoyé, peut avoir un impact FW DP CPUsur .
18. Le
    1. Le protocole Real Time Streaming Protocol est un protocole de niveau application permettant de contrôler la livraison de données avec des propriétés en temps réel. Envisagez l’utilisation de la substitution d’application pour ce trafic uniquement si la fonctionnalité Application Layer Gateway ALG n’est pas nécessaire pour être exécutée par le firewall. Sinon, vous risquez de casser le VOIP trafic. D’autres applications qui utilisent ALG sont répertoriées ici.
19. rtp-base
    1. Ce trafic contient des paquets audio et vidéo, il est possible de lui appliquer le remplacement de l’application si une amélioration des performances est nécessaire.
20. RTCP
    1. Ce trafic contient des paquets audio et vidéo, il est possible de lui appliquer le remplacement de l’application si une amélioration des performances est nécessaire.
21. navigation sur le Web
    1. Envisagez de désactiver SSL le déchiffrement pour le trafic Web qui peut être exempté de déchiffrement car cela diminuera la quantité de trafic classé comme « navigation Web » (au lieu de cela, il restera comme « SSL ») et serait déchargé par le FW.Notez que généralement le dépense plus de ressources (CPU) pour inspecter le FW trafic de « navigation Web » que pour le trafic « ssl ».
22. panorama
    1. Si une grande quantité de trafic est inattendue, vérifiez s’il y a eu une mise à jour ou un changement de configuration sur Panorama, le collecteur de journaux ou géré par Panorama qui l’a causé et si ce changement de configuration doit être annulé ou firewall ajusté pour réduire cette quantité de panorama trafic.