EtherIP 协议数据包可能会导致资源利用PANW下一代防火墙
15931
Created On 09/19/22 15:17 PM - Last Modified 06/28/23 09:25 AM
Symptom
EtherIP协议(IP协议 97) 隧道以太网和IEEE802.3 媒体访问控制帧IP数据报,使非IP交通可以穿越IP互联网。 该协议非常轻量级,不提供防止无限循环的保护。
尽管它通常用于承载加密数据,但流量可能会穿越PANW根据现有网络拓扑的下一代防火墙。 大量 EtherIP 流量可能会导致资源利用。
Environment
任何PANW下一代firewall
任何 PanOS 版本
Cause
我们主要遇到 EtherIP 流量WLAN用于传输流量的基础设施WLAN控制器和/或接入点。 来自/发往多个内部子网的流量可以通过单个 EtherIP 隧道传输。
由于大量数据包命中相同的“会话”记录firewall上的资源firewall可能会被利用。 这hardware由于协议的性质,具有网络(卸载)处理器的模型将无法卸载 EtherIP 流量。
网络处理器将消息与 EtherIP 数据包一起发送到数据平面。 在数据平面上flow_fpga_rcv_igr_PROTO将增加每个数据包。
> show counter global filter delta yes ... flow_fpga_rcv_igr_PROTO 4176134021 2502 info flow offload FPGA IGR Exception: PROTO
Resolution
如果应允许 EtherIP 流量firewall:
-以太坊app-id 应该在安全中使用policy允许交通。
- 应用程序覆盖policy为定义的自定义应用程序IP协议 97 可用于减轻一小部分处理负载。
- 如果流量和利用率很高,建议从中删除 EtherIP 流量firewall.
如果 EtherIP 流量应在firewall:
- 如果音量低则安全policy和以太坊app-id 可用于拒绝流量。
- 如果音量很高区和/或拒绝服务保护策略可用于在数据包处理的早期阶段丢弃数据包。
Additional Information
链接到 EtherIPRFC :
https://www.rfc-editor.org/rfc/rfc3378
关于数据包处理阶段的文章PANW下一代防火墙:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWFCA0
与应用程序覆盖相关的公共文档:
https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -web-interface-help/policies/policies-application-override
与区域和 DoS 保护相关的公共文件:
https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -admin/zone-protection-and-dos-protection