High を軽減する方法DP CPUアプリケーションの使用率が高いことによる問題

• パロアルト Firewall
• DP CPU
• アプリケーションの使用

1. どのポート、ソースを特定するIPと目的地IPこのアプリケーションは使用します。
   1. あなたのFW UI監視 > ログ > トラフィック。
   2. 次のようにフィルタリングします: (app eq <アプリケーション名>)
2. 小切手アプリペディア使用率の高いアプリケーションとその標準ポートについて詳しく知るには、
3. このアプリケーションのトラフィックの増加またはスパイクが予想されるかどうか、ネットワークで確認してください。
   1. 予想される場合は、次のことを検討してください。
      1. このトラフィックのネットワーク パスを変更して、FW .
      2. トラフィックのソースの構成または設定を変更して、このトラフィックの量を減らします。
      3. 可能であれば、このトラフィック フローの予定時刻をピーク時間外に変更します。
      4. QoS の構成と適用このアプリケーションのトラフィックが影響を受けないように制限するFWの将来のリソース
   2. 予期しない場合:
      1. ネットワークからトラフィックを排除します。
      2. トラフィックがあなたに到達するのをブロックしますFW.
      3. 使用FWゾーンとDOS保護問題のあるアプリケーション トラフィックに対して。
4. あなたのFWサポートHWオフロード;その場合は、オフロードが有効になっているかどうかを確認してください。    
   1. Hardware オフロードは、次のファイアウォールでサポートされています。PA-3200シリーズ、PA-5200シリーズ、PA-7000シリーズとPA-5450 firewall.
   2. かどうかを確認するにはHWオフロードが有効になっています。

      > show session info | match offload 

   3. 有効にするHWオフロード

      > set session offload yes

   4. のVM-バージョン 10.1.0 以降を実行するシリーズ FW がサポート可能インテリジェントなトラフィック オフロード.
   5. A にパケットを送信しなくなったセッションCPUL7 処理の場合、オフロードされたと見なされ、layer7 プロセスは次の出力で完了したと表示されます。

      > show session id <id#> 

5. 高い期間中の合計セッション数を確認しますDP CPUサポートされているセッション数を超えましたFWプラットホーム.この大量のセッションが予想される場合は、アップグレードを検討してください。FWより大容量のプラットフォームに。
6. トラフィックが正当で、期待され、信頼されている場合:
   1. セキュリティを追加するpolicyヒットしている現在のルールより上位のルールですが、ルールの [アクション] タブで有効になっているセキュリティ プロファイルが少なくなります。また、
   2. を確認してくださいDSRI（サーバー応答検査を無効にする）セキュリティのチェックボックスpolicyこのアプリケーション トラフィックのみを許可するルール。これにより、トラフィック フローのサーバーからクライアントへの方向のレイヤー 7 インスペクションが無効になり、サーバーのトラフィックが信頼されるルールでのみ構成する必要があります。また、
   3. を使用することを検討してくださいアプリケーションのオーバーライドこのトラフィックがDP資力。 これは、このトラフィックがコンテンツ インスペクションをバイパスすることを意味することに注意してください。 アプリケーションのオーバーライドは、最後の手段として使用する必要があります。CPU利用方法。
7. 上記の手順に加えて、高負荷の原因であると疑われるアプリケーションに基づいてDP CPU各アプリケーションに関連する以下の手順または注意事項を確認してください。シスログ、 paloalto-logging-service 、不明-udp 、 meraki クラウド コントローラ、 SSL 、 DNS ベース、クラウドストライク、パロアルトの更新、 Google ベース、オープン VPN 、ピング、 VMware 、 ms-ds-smbv2 、 ms-ds-smbv3 、 ipsec-esp-udp 、 ms-更新、ネットフロー、 rtsp 、 rtpベース、 rtcp 、ウェブブラウジング、panorama .

1. シスログ
   1. syslog トラフィックがFW次に、変更してこのトラフィックを減らすことを検討してくださいFW構成.
   2. もしあなたのFWログはすでに送信されていますPanorama、次に検討するから syslog サーバーにログを送信するPanoramaから直接ではなくFirewall.

注 1: トラフィック ログでセッションの開始を確認することにより、syslog セッションが非常に長い期間 (おそらく数日または数週間) 存続し、その後最近閉じられたかどうかを確認します。ACC syslog アプリケーションの使用については、予想されることであり、驚くべきことではありません。
注 2: syslog の拒否UDPトラフィックは、高いDPリソース使用量. トラフィックを許可するか、そのトラフィックをバイパスするようにルーティングすることをお勧めしますFW.

2. paloalto-logging-service
   1. かどうかを確認しますFWまたPanoramaこのトラフィックの送信元を適切に構成し、トラフィックの量を減らすことを検討してください。に送信されたログCortexデータレイク(CDL ) ログの重大度、ログの種類、およびどのセキュリティに基づくかpolicyルール ログ。
3. 不明-udp
   1. カスタム アプリケーションを作成するによって認識されていないアプリケーションについてFW正規のアプリを許可し、不要なアプリを拒否し、その性質と使用法に応じて、unknown-udp として識別されます。app (s) 適用を検討する必要があるかどうかを確認してくださいそれらへのアプリケーションのオーバーライド.
   2. アプリケーションが以前に認識されていた場合FWコンテンツの更新後に認識されなくなった場合は、コンテンツの更新を元に戻し、サポート チケットを開いて、この問題を報告して対処してください。
4. meraki クラウド コントローラ
   1. meraki-cloud-controller アプリケーション トラフィックがネットワークで信頼されているかどうかを確認し、信頼できる場合はアプリケーション オーバーライドの適用を検討してください。
5. SSL
   1. のSSL復号化されていない場合、トラフィックはオフロードされるため、データプレーン リソースの使用率が高くなる主な要因にはなりません。FWプラットフォームがサポートする範囲内です。 その場合は、使用率の高い他のアプリケーションを調査することをお勧めします。
   2. もしもSSLでトラフィックが復号化されていますfirewallその後、高DPの時間帯にCPUの出力の値を確認します。

      > show session all filter ssl-decrypt yes count yes 

      の最大同時復号化セッションを超える任意の時点でプラットホームその場合は、変更することを検討してくださいfirewallconfig を作成して、復号化されたトラフィックの量を減らします。復号除外ルール復号化を免除されたトラフィック、またはアップグレードを計画しているトラフィックFWより大容量のプラットフォームに。
6. DNS ベース
   1. ネットワークで dns-base トラフィックの増加または急増が悪意のあるものまたは予期しないものであることが判明した場合は、組織が知っておくべき上位の DNS ベースの攻撃とそれらを軽減する方法.
7. クラウドストライク
   1. クラウドストライク アプリケーション トラフィックがネットワークで信頼されているかどうかを確認し、信頼できる場合はアプリケーション オーバーライドの適用を検討してください。
8. パロアルトの更新
   1. ピーク時以外に更新をスケジュールします。
   2. アプリケーションオーバーライドの使用を検討している場合は、そのルールを公式に基づいてくださいPalo Alto Networks 更新サーバー.
9. Google ベース
   1. 上記の解決策 5 を確認してください。 それ以外の場合は、セッションの合計がサポートされている制限内にある場合は、使用率の高い他のアプリケーションを調査することを検討してください。
10. オープン VPN
    1. オープン-VPN 、復号化されていない場合はオフロードされるため、高値の主な原因にはなりません。FWリソースの使用。 open-vpn サーバーが背後にあるシナリオでは、firewall 、無効にするSSLでのこれらの接続のインバウンド復号化firewall、open-vpnサーバーに単独で復号化プロセスを実行させます; open-vpn サーバーがトラフィックを復号化した後、クリア テキスト トラフィックをfirewall検査用。
11. ピング
    1. ゾーン保護には、具体的に対処できる領域が少なくとも 4 つあります。ICMP問題：
       1. からの洪水防御ICMP/ ICMPv6 .
       2. からのパケットベースの攻撃保護ICMP/ ICMPv6 .
       3. DoS 保護を構成する.
       4. ここで紹介するすべてのソリューションのうち、パケット バッファ保護3つの中で最も実装が簡単です。
12. VMware
    1. トラフィックが予想される場合は、上記の 3.a で示したソリューションを検討してください。
13. ms-ds-smbv2
    1. このアプリケーションは、FWリソースを高度に使用する可能性があるため、アプリケーションのオーバーライドこのトラフィックのために。
    2. チェックするSMBによるファイル圧縮を使用していますそのアプリケーションに従ってトラフィックをフィルタリングする[Monitor] > [Packet Capture] の下で、次のコマンドを発行します。CLI :

       > show counter global filter packet-filter yes delta yes | match zip

       カウンターの結果に基づいて、SMBトラフィックが圧縮されており、圧縮されている場合は、で無効にしますSMB側.これにより、CPUサイクルSMB.
14. ms-ds-smbv3
    1. Palo Alto Networks は無効にすることを推奨していますSMBファイルのマルチチャンネル分割Windows PowerShell を使用して、ファイルを最大限に保護および検査します。
    2. それでも高値が表示される場合DP CPUステップnの後。 A 次に、上記の ms-ds-smbv2 で示した方法と同じ方法を使用します。
15. ipsec-esp-udp
    1. 高のトラブルシューティングDP CPUIPsec トラフィックのためそれがハイの背後にある原因であるかどうかを確認するDP CPU(カプセル化/カプセル化解除が多すぎる、トンネル操作など):
       で強度の低い暗号や暗号化アルゴリズムを設定することに注意してください。VPNで開始または終了したトンネルFW減らすことができますFWの処理負荷がかかる場合があります。
       を通過する大量の IPsec トラフィックの場合firewallハイの原因DP CPU使用するHigh Dataplane のトラブルシューティング方法CPU.
    2. アプリケーション 'ipsec-esp-udp' としてマークされたトラフィック セッションは、あなたのユーザーになることもできます。GlobalProtectVPNセッション (ポート 4501) その場合、firewall構成は最大数GlobalProtectVPNでサポートされるトンネルFirewallそして従う増加させるために実行できる手順GlobalProtectVPN接続数の増加によるパフォーマンス（スプリット トンネル機能を活用する、ビデオ トラフィックをトンネリングしない、アイドル状態のユーザーを削除するなど）。これにより、これらのデータ プレーン リソースの使用量が削減されます。GlobalProtectVPNユーザー。
       トラブルシューティングが必要な場合GlobalProtectさらに参照リソースリスト.
16. ms-更新
    1. ms-update トラフィックの増加の背後にある考えられる理由を確認します。
       1. A Microsoft Windows の更新は、ネットワーク内の複数の Windows デバイスに対して同時に実行されるようにスケジュールされていました。
       2. A 大きいグループPolicy会社によって同時に多くの Windows デバイスに同時にプッシュされたITデパートメント。
    2. 見つかった理由に基づいて解決策を適用します。
       1. ドメイン マシンの自動更新をオフにし、グループ経由で Windows 更新を管理するPolicy代わりに、いつそれらを選択的に押し出すかを選択します。
       2. ピーク時以外の影響の少ない時間に Windows Update が実行されるようにスケジュールします。
       3. ネットワーク内の Windows デバイスが同時に更新を実行しないように、ずらした Windows 更新スケジュールを設定します。
17. ネットフロー
    1. かどうかFWがネットフロー トラフィックの受信者または送信者であることを確認します。FW構成、そのセキュリティpolicyこのトラフィックを許可し、ネットフロー トラフィック カウンタがどのように増加しているかで受信または送信されたときFWデータプレーン;使用するCLIコマンド:

       > debug log-receiver netflow statistics
       > debug dataplane netflow statistics
       > show counter global | match netflow

    2. これを確認してくださいFWNetflow レコードを異常または過剰な速度で送受信していない。これは、ルーティング ループまたはその他の構成の問題を示している可能性があるためです。FW 、送信者またはネットワーク。 Netflow レコードはFW DPつまり、受信または送信された場合、このトラフィックの割合が高いと影響を受ける可能性がありますFW DP CPU.
18. rtsp
    1. リアルタイム ストリーミング プロトコルは、リアルタイム プロパティを使用してデータの配信を制御するためのアプリケーション レベルのプロトコルです。 次の場合にのみ、このトラフィックに対するアプリケーション オーバーライドの使用を検討してください。アプリケーション層ゲートウェイALG機能は、によって実行される必要はありませんfirewall. そうしないと、VOIPトラフィック。 使用するその他のアプリケーションALG記載されていますここ.
19. rtpベース
    1. このトラフィックにはオーディオ パケットとビデオ パケットが含まれます。パフォーマンスの改善が必要な場合は、アプリケーション オーバーライドを適用できます。
20. rtcp
    1. このトラフィックにはオーディオ パケットとビデオ パケットが含まれます。パフォーマンスの改善が必要な場合は、アプリケーション オーバーライドを適用できます。
21. Web ブラウジング
    1. 無効にすることを検討してくださいSSL可能な Web トラフィックの復号化復号化の免除これにより、「Web ブラウジング」として分類されるトラフィックの量が減少し (代わりに、「ssl」のままになります)、FW .一般に、FWより多くのリソースを消費します (CPU ) 'ssl' トラフィックよりも 'web-browsing' トラフィックを検査します。
22. panorama
    1. 大量の場合panoramaトラフィックが予期しないものである場合は、更新があったかどうかを確認するか、構成オンに変更Panorama、ログコレクターまたはfirewallによって管理されますPanoramaそれが原因であり、このトラフィック量を減らすためにその構成変更を元に戻すか調整する必要があるかどうか。