Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Zonenschutzprofil blockiert vertrauenswürdigen Datenverkehr - Knowledge Base - Palo Alto Networks

Zonenschutzprofil blockiert vertrauenswürdigen Datenverkehr

23674
Created On 04/26/21 15:30 PM - Last Modified 09/03/21 22:50 PM


Symptom


  • Datenverkehr von bestimmten IPs hat keinen Zugriff auf das Internet.
  • Andere IPs und Benutzer, die die gleiche policy NAT policy Sicherheit, dasselbe Subnetz und dieselbe Konfiguration verwenden, können auf das Internet zugreifen.
  • Der Zugriff ist nach einiger Zeit erlaubt.
  • Wenn Sie den globalen Leistungsindikator für das gefilterte Paket anzeigen, wird der folgende Leistungsindikator erhöht:
flow_dos_drop_ip_blocked 2 0 drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules

 

Environment


  • Palo Alto Netzwerke firewall

Cause


  • Wenn Sie sich die Detailmeldungen ansehen, wird Ihnen angezeigt, dass die Blocktabelle durch "DoS oder andere Module", das ist das Zonenschutzmodul, ausgelöst wurde.
  • Dies geschieht normalerweise, wenn Sie auf dem Zonenschutzprofil "Block- IP " für den Aufklärungsschutz konfigurieren, dann firewall wird diese Quelle für eine IP konfigurierte Zeitspanne blockiert.

Resolution


 
  1. Option 1: Entfernen des Zonenschutzprofils aus der Vertrauenszone
  2. Option 2: Quellausschluss zur IP Adressliste hinzufügen
  3. Option 3: Reduzieren Sie den Block-Timer und erhöhen Sie den Schwellenwert gemäß Ihren Anforderungen.
Schnappschuss mit dem Dialogfeld "Zonenschutz" in PAN-OS
 
  1. Nachdem Sie eine der Optionen implementiert haben, deaktivieren Sie die dos-Blocktabelle CLI mit dem folgenden Befehl:
>debug dataplane reset dos block-table
 
  1. Führen Sie den folgenden Befehl erneut aus, um zu bestätigen, dass er IP nicht mehr in der Sperrliste enthalten ist
> debug dataplane show dos block-table


 

Additional Information


  • Beachten Sie, dass der Zonenschutz auf die Eindringschnittstelle angewendet wird. Zum Schutz vor Hochwasserscans sollte es auf die nicht vertrauenswürdige Zone angewendet werden.
  • Wenn Sie das Zonenschutzprofil auf die vertrauenswürdige Zone angewendet haben, überprüfen Sie, ob sich die IP Adresse in der dos-Blocktabelle befindet. CLI
> debug dataplane show dos block-table

entp:0x800000024792c828, bucket:100, entry:0
Key:
vsys_id:1, src_zone:1
ip:10.75.1.11, dst_ip:67.195.228.84
is_ipv6:0, is_src_dst_both:1

Value:
block_until:38557 (Unblock after:106 sec)



 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,265
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1uCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language