区域保护配置文件阻止受信任的流量

区域保护配置文件阻止受信任的流量

19239
Created On 04/26/21 15:30 PM - Last Modified 09/03/21 22:50 PM


Symptom


  • 来自特定 IP 的流量无法访问互联网。
  • 其他使用相同安全 policy 、 NAT policy 子网和配置的IP和用户可以访问互联网。
  • 允许在一段时间后访问。
  • 查看过滤数据包的全球计数器显示下面的计数器正在增加:
admin@PA-VM> show counter global filter packet-filter yes delta yes  => Note packet filter must be configured to match the traffic.
.......
flow_dos_drop_ip_blocked      2 0 drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules
.......

 

Environment


  • 帕洛阿尔托网络 firewall
  • PAN-OS 8.1 及以上。

Cause


  • 消息的详细信息"块表由 DoS 或其他模块触发",表示是区域保护模块。
  • 这通常发生在区域保护配置文件上,您配置"块- IP "用于侦察保护(如下图所示),然后 firewall 将阻止该源 IP 在配置的时间内。
侦察保护

Resolution


 
  1.  选项 1: 从信任区中删除区域保护配置文件
区域配置下的区域保护配置文件
  1.  选项2:将源排除添加到地址列表中 IP
配置文件中的源地址排除
  1. 选项 3: 减少块时间器,并根据您的要求增加阈值。  
  2. 实施任何选项后,使用以下命令清除 Dos 块表 CLI :
> debug dataplane reset dos block-table
  1. 再次运行下面的命令,以确认 IP 该命令不再在块列表中
> debug dataplane show dos block-table


 

Additional Information


  • 区域保护建议
  • 配置侦察保护
  • 请注意,区域保护适用于入口界面。 为了防止洪水扫描,它应该应用于不信任区。
  • 如果您在受信任区域上应用了区域保护配置文件,请确认 IP 该地址是否位于 Dos 块桌上 CLI
> debug dataplane show dos block-table

entp:0x800000024792c828, bucket:100, entry:0
Key:
vsys_id:1, src_zone:1
ip:10.75.1.11, dst_ip:67.195.228.84
is_ipv6:0, is_src_dst_both:1

Value:
block_until:38557 (Unblock after:106 sec)



 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1uCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language