So reduzieren Sie die Auslastung der Sitzungstabelle in %

So reduzieren Sie die Auslastung der Sitzungstabelle in %

20944
Created On 02/02/23 04:21 AM - Last Modified 12/09/23 00:59 AM


Objective


  • Wenn ein Datenverkehrsfluss durch die Palo Alto Networks firewallkommt, wird eine firewall so genannte "Sitzung" für diesen Verkehrsfluss installiert.
  • A Die Sitzung wird durch zwei unidirektionale Flüsse (ein bidirektionaler Fluss) definiert.
  • Jede Sitzung wird durch einen einzigen 6-Tupel-Schlüssel eindeutig identifiziert:
    • Quelladresse IP
    • Quell-Port
    • Zieladresse IP
    • Ziel-Port
    • Protokoll
    • Sicherheitszone
  • Jede firewall (variiert je nach Modell) kann nur eine bestimmte Anzahl von Sitzungen halten, bevor die Sitzungstabelle ihre Kapazität erreicht (d. h. die Sitzungstabelle wird voll).
  • Dieser Artikel hilft bei der Identifizierung von Datenverkehrsströmen, die eine hohe Anzahl von Sitzungen in der Sitzungstabelle beanspruchen (CLI: show session all)

Environment


  • Palo Alto Firewalls
  • Unterstützt PAN-OS
  • Auslastung der Sitzungstabelle

Procedure


  1. Identifizieren Sie die Quelle IP(n) und Ziel IP(e) der Datenverkehrsströme, die die höchste Anzahl von Sitzungen beanspruchen, indem Sie sich auf Folgendes beziehen:
    1. Web UI: ACC Registerkarte > Netzwerkaktivität > Quellaktivität IP , Zielaktivität IP / Anwendungsnutzung > wählen Sie das Optionsfeld Sitzungen
    2. Web UI: Überwachen Sie > Protokolle > Datenverkehr Verwenden Sie Filter, um nach den Adressen zu suchen, die in den IP obigen ACC Diagrammen gefunden wurden
    3. CLI: >Show Session All
    4. CLI: >Systemstatistiksitzung anzeigen
  • Das Ziel bei all dem oben Genannten ist es, sie zu durchsuchen und herauszufinden, welche Quellen IPoder Ziele IPSie wiederholt sehen (oder eine hohe Anzahl von Sitzungen).
  • Dies sind die beleidigenden Sitzungen, die wahrscheinlich die höchste Menge an Sitzungstabellenauslastung in Anspruch nehmen.
  • Sie sollten weiter untersucht werden, um festzustellen, ob es sich um gültige Datenverkehrsflüsse in Ihrer Organisation handelt oder ob es sich um Angreifer/bösartige/nicht autorisierte Hosts oder unnötige/versehentliche/unbeabsichtigte Datenverkehrsströme handelt.
  1. Verringern oder stoppen Sie diese Datenverkehrsströme (d. h. um die Auslastung der Sitzungstabellen zu reduzieren), indem Sie die folgenden Schritte ausführen:
  1. Herunterfahren/Stoppen des/der Verkehrsflusses/-ströme von seiner Quelle (von vornherein zum firewall
  2. Erstellen/Anpassen einer SicherheitsregelPolicy, um diesen Datenverkehr zu verweigern
  3. Konfigurieren Sie den Zonenschutz und/oder den DoS-Schutz auf der .firewall Detaillierte Schritte finden Sie unter Fehlerbehebung bei DoS-Angriffen und Zonenschutzprofil - Flood Detection

Anmerkung:  Löschen Sie diese beanstandeten Sitzungen aus dem Folgenden firewall , nachdem die oben genannten konfiguriert wurden. Dies kann mit den folgenden Befehlen erfolgen, Beispiele unten:
> Löschen Sie die gesamte Filterquelle 192.168.51.71
> Löschen Sie die Sitzung Alle Filterziele 8.8.8.8
> Löschen Sie die Sitzung Alle Filteranwendung Skype

Stellen Sie nach dem Löschen der Sitzungen sicher, dass sie nicht zurückkehren, indem Sie den CLI Befehl ">show session all" erneut ausführen. Andernfalls lesen Sie bitte Schritt 2 oben und führen Sie ihn durch
 
  1. (Fakultativ) Beschleunigte Alterung von Sitzungen aktivieren
Navigieren Sie zu Web UI: Gerät > Einrichtung > Sitzung > Sitzungseinstellungen (bearbeiten) > Beschleunigte Alterung (aktivieren)
  • Während die beschleunigte Alterung dazu beitragen kann, die Auslastung der Sitzungstabelle zu verringern, ist Schritt 2 oben die bevorzugte und empfohlene Methode zur Reduzierung der Auslastung der Sitzungstabelle.
  • Beschleunigtes Altern sollte nicht erforderlich sein und sollte nur verwendet werden, wenn Schritt 2 oben das Problem nicht behoben hat.
  • Informationen zum Konfigurieren der beschleunigten Alterung gemäß bewährten Methoden finden Sie in Schritt 6 unter Konfigurieren von Sitzungseinstellungen und Sitzung - Beschleunigte Alterung

Additional Information


Weitere Informationen zu Sitzungen, volumetrischen DDoS-Angriffen, die in der Regel eine hohe Anzahl von Sitzungen in Anspruch nehmen, oder zur Identifizierung von Datenverkehr, der eine hohe Anzahl von Sitzungen verursacht (wodurch die Auslastung der Sitzungstabellen erhöht wird), finden Sie in den folgenden Dokumenten:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000samTCAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language