区域保护配置文件阻止受信任的流量

• 来自特定 IP 的流量无法访问互联网。
• 其他使用相同安全 policy 、 NAT policy 子网和配置的IP和用户可以访问互联网。
• 允许在一段时间后访问。
• 查看过滤数据包的全球计数器显示下面的计数器正在增加：

admin@PA-VM> show counter global filter packet-filter yes delta yes  => Note packet filter must be configured to match the traffic.
.......
flow_dos_drop_ip_blocked      2 0 drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules
.......

• 帕洛阿尔托网络 firewall
• PAN-OS 8.1 及以上。

• 消息的详细信息"块表由 DoS 或其他模块触发"，表示是区域保护模块。
• 这通常发生在区域保护配置文件上，您配置"块- IP "用于侦察保护（如下图所示），然后 firewall 将阻止该源 IP 在配置的时间内。

1.  选项 1： 从信任区中删除区域保护配置文件

2.  选项2：将源排除添加到地址列表中 IP

3. 选项 3： 减少块时间器，并根据您的要求增加阈值。  
4. 实施任何选项后，使用以下命令清除 Dos 块表 CLI ：

> debug dataplane reset dos block-table

5. 再次运行下面的命令，以确认 IP 该命令不再在块列表中

> debug dataplane show dos block-table

• 区域保护建议
• 配置侦察保护
• 请注意，区域保护适用于入口界面。 为了防止洪水扫描，它应该应用于不信任区。
• 如果您在受信任区域上应用了区域保护配置文件，请确认 IP 该地址是否位于 Dos 块桌上 CLI

> debug dataplane show dos block-table

entp:0x800000024792c828, bucket:100, entry:0
Key:
vsys_id:1, src_zone:1
ip:10.75.1.11, dst_ip:67.195.228.84
is_ipv6:0, is_src_dst_both:1

Value:
block_until:38557 (Unblock after:106 sec)