如何缓解高DP CPU由于应用程序使用率高而导致的问题

• 帕洛阿尔托 Firewall
• DP CPU
• 应用程序使用

1. 识别哪些端口、来源IP和目的地IP这个应用程序使用。
   1. 去你的FW UI监控 > 日志 > 流量。
   2. 筛选依据：(app eq <应用程序名称>)
2. 查看应用百科了解有关高使用率应用程序及其标准端口的更多信息。
3. 检查此应用程序的流量增加或峰值是否在您的网络中是预期的：
   1. 如果预期，则考虑：
      1. 更改此流量的网络路径以绕过FW.
      2. 更改流量源的配置或设置以减少此流量。
      3. 如果可能，将此交通流的预定时间更改为高峰时段以外。
      4. 配置和实施 QoS限制此应用程序的流量影响FW未来的资源
   2. 如果出乎意料，那么：
      1. 消除网络中的流量。
      2. 阻止流量到达您的FW.
      3. 使用FW区和DOS保护针对有问题的应用程序流量。
4. 检查你的FW支持HW卸载;如果是这样，则检查是否启用了卸载。    
   1. Hardware 以下防火墙支持卸载：PA-3200系列，PA-5200系列，PA-7000系列和PA-5450 firewall.
   2. 检查是否HW卸载已启用。

      > show session info | match offload 

   3. 启用HW卸载

      > set session offload yes

   4. 这VM-运行版本 10.1.0 以上的系列 FW 可以支持智能分流.
   5. A 不再将数据包发送到的会话CPU对于 L7 处理，被认为已卸载并且 layer7 进程在以下输出中显示为已完成：

      > show session id <id#> 

5. 检查高峰期间的总会话数是否DP CPU超出了您的支持会话FW平台.如果预计会有如此大量的会话，请考虑升级您的FW到更高容量的平台。
6. 如果流量是合法的、预期的和可信的，那么：
   1. 添加一个安全policy规则高于它正在命中的当前规则，但在规则的“操作”选项卡中启用的安全配置文件较少；或者，
   2. 检查DSRI（禁用服务器响应检查）安全复选框policy仅允许此应用程序流量的规则这将禁用对流量的服务器到客户端方向的第 7 层检查，并且应仅在服务器流量受信任的规则上配置；或者，
   3. 考虑使用应用覆盖对于此流量，以减少负载DP资源。 请记住，这意味着此流量将绕过内容检查。 应用覆盖应该是最后的解决方案，只能用作减少CPU用法。
7. 除上述步骤外，并根据怀疑导致高的应用程序DP CPU检查下面列出的与每个应用程序相关的步骤或注意事项：系统日志, paloalto 日志记录服务,未知的udp , Meraki 云控制器, SSL , DNS 基地,人群罢工, paloalto-更新,谷歌基地,打开VPN ,平,虚拟机软件, ms-ds-smbv2 , ms-ds-smbv3 , ipsec-esp-udp , ms更新,网流,实时传输协议, rtp基础,远程控制协议,网页浏览,panorama .

1. 系统日志
   1. 如果系统日志流量来自FW然后考虑通过更改来减少此流量FW配置.
   2. 如果你的FW日志已经被发送到Panorama，然后考虑将日志从 syslog 服务器发送到Panorama而不是直接来自Firewall.

注意 1：通过查看流量日志中会话的开始，检查系统日志会话是否存在很长时间（可能几天甚至几周）然后最近关闭，这可能会显示ACC对于 syslog 应用程序的使用，这是意料之中的，不应该令人担忧。
注 2：拒绝系统日志UDP交通会导致高的DP资源使用. 最好允许流量或绕过该流量FW.

2. paloalto 日志记录服务
   1. 检查是否FW或者Panorama此流量的来源已正确配置并考虑减少日志发送到Cortex数据湖(CDL ) 基于日志的严重性、日志的类型和哪个安全性policy规则日志。
3. 未知的udp
   1. 创建自定义应用程序对于未被认可的应用程序FW并标识为 unknown-udp 以允许合法应用程序，拒绝不需要的应用程序，并取决于app(s) 检查您是否应该考虑申请应用程序覆盖他们.
   2. 如果申请之前被FW并在内容更新后停止被识别，然后恢复内容更新并打开支持票以报告和解决此问题。
4. Meraki 云控制器
   1. 检查 meraki-cloud-controller 应用程序流量在您的网络中是否受信任，如果您可以考虑对其应用应用程序覆盖。
5. SSL
   1. 这SSL流量，如果不解密，被卸载，因此不应该是数据平面资源高使用率的主要贡献者，如果在FW在平台支持的范围内。 在这种情况下，建议调查其他高使用率应用程序。
   2. 如果SSL流量正在被解密firewall那么在高dp的时候CPU检查输出中的值是否：

      > show session all filter ssl-decrypt yes count yes 

      在任何时候超过最大并发解密会话平台如果是这样，请考虑改变您的firewall配置以通过创建减少解密流量解密排除规则对于免于解密的流量或计划升级您的FW到更高容量的平台。
6. DNS 基地
   1. 如果发现 dns-base 流量的增加或激增在您的网络中是恶意的或意外的，那么了解您的组织应该了解的基于 DNS 的顶级攻击和减轻它们的方法.
7. 人群罢工
   1. 检查 crowdstrike 应用程序流量是否在您的网络中受信任，如果您可以考虑对其应用应用程序覆盖。
8. paloalto-更新
   1. 在非高峰时段安排更新。
   2. 如果考虑使用 application override 则将其规则基于官方帕洛阿尔托网络更新服务器.
9. 谷歌基地
   1. 检查上面的解决方案 5。 否则，如果总会话数在支持的限制内，则考虑调查其他高使用率应用程序。
10. 打开VPN
    1. 开放-VPN ，如果没有解密则卸载，所以不应该是高的主要贡献者FW资源使用。 在 open-vpn 服务器位于firewall, 禁用SSL这些连接的入站解密firewall，并让open-vpn服务器单独做解密过程； open-vpn 服务器解密流量后，将明文流量转发到firewall供检查。
11. 平
    1. 区域保护中至少有四个区域可以专门解决ICMP问题：
       1. 防洪ICMP/ICMPv6 .
       2. 基于数据包的攻击保护ICMP/ICMPv6 .
       3. 配置 DoS 保护.
       4. 在这里介绍的所有解决方案中，数据包缓冲区保护是三者中最容易实现的。
12. 虚拟机软件
    1. 如果预计会有流量，请考虑上面 3.a 中介绍的解决方案。
13. ms-ds-smbv2
    1. 如果收到高额申请，则此申请FW可能会高度利用其资源考虑配置应用覆盖为了这个流量。
    2. 检查是否SMB正在使用文件压缩根据该应用程序过滤流量在 Monitor > Packet Capture 下，然后发出以下命令CLI:

       > show counter global filter packet-filter yes delta yes | match zip

       根据计数器的结果，您应该能够得出结论：SMB流量正在被压缩，如果是，禁用它SMB边.这应该减少CPU周期为SMB.
14. ms-ds-smbv3
    1. 帕洛阿尔托网络建议禁用SMB文件的多通道分割通过 Windows PowerShell 最大限度地保护和检查文件。
    2. 如果仍然看到高DP CPU在第 n 步之后 A 然后使用与上面为 ms-ds-smbv2 列出的方法相同的方法。
15. ipsec-esp-udp
    1. 故障排除高DP CPU由于 IPsec 流量检查这是否是高值背后的原因DP CPU（太多的封装/解封装，隧道操作等）：
       请注意，在VPN隧道发起或终止于FW可以减少FW在某些情况下的处理负载。
       对于大量 IPsec 流量通过firewall导致高DP CPU利用如何对高数据平面进行故障排除CPU.
    2. 标记为应用程序“ipsec-esp-udp”的流量会话也可以是您的用户GlobalProtectVPN会话（端口 4501）在这种情况下确保您的firewall配置不超过最大数量GlobalProtectVPN支持的隧道Firewall并关注可以采取的步骤来增加GlobalProtectVPN由于连接数量增加而导致的性能（利用拆分隧道功能，不要隧道视频流量，删除空闲用户等）这将减少这些的数据平面资源使用量GlobalProtectVPN用户。
       如果需要排除故障GlobalProtect进一步参考资源列表.
16. ms更新
    1. 检查 ms-update 流量增加的可能原因：
       1. A Microsoft Windows 更新计划为您网络中的多个 Windows 设备同时更新。
       2. A 大团体Policy被贵公司同时推送到多台 Windows 设备IT部。
    2. 根据找到的原因应用解决方案：
       1. 关闭域机器的自动更新，并通过组管理 Windows 更新Policy相反，选择何时有选择地推出它们。
       2. 安排 Windows 更新在非高峰时段影响较小的时间进行。
       3. 设置交错的 Windows 更新计划，以便您网络中的 Windows 设备不会同时执行更新。
17. 网流
    1. 是否FW是 netflow 流量的接收者或发送者，验证FW配置, 它的安全性policy允许这种流量和netflow 流量计数器如何递增在收到或发送时FW数据平面；利用CLI命令：

       > debug log-receiver netflow statistics
       > debug dataplane netflow statistics
       > show counter global | match netflow

    2. 确保这FW没有以异常或过高的速率接收或发送 Netflow 记录，因为这可能表明路由环路或网络中的其他配置问题FW、发件人或网络。 Netflow 记录在FW DP这意味着如果接收或发送此流量的高速率会影响FW DP CPU.
18. 实时传输协议
    1. 实时流协议是一种应用层协议，用于控制具有实时属性的数据传输。 仅当应用层网关ALG能力不需要由执行firewall. 否则你可能会破坏VOIP交通。 其他应用程序使用ALG被列为这里.
19. rtp基础
    1. 此流量包含音频和视频数据包，如果需要提高性能，可以对其应用应用程序覆盖。
20. 远程控制协议
    1. 此流量包含音频和视频数据包，如果需要提高性能，可以对其应用应用程序覆盖。
21. 网页浏览
    1. 考虑禁用SSL可以对网络流量进行解密免于解密因为这将减少归类为“网络浏览”的流量（相反，它将保持为“ssl”）并且会被分流FW.请注意，通常FW花费更多的资源（CPU ) 检查“网络浏览”流量而不是“ssl”流量。
22. panorama
    1. 如果大量panorama流量是意外的然后检查是否有任何更新或配置改变Panorama，日志收集器或firewall由管理Panorama导致它的原因以及是否需要恢复或调整该配置更改以减少此流量。