セッションテーブルの使用率を減らす方法

セッションテーブルの使用率を減らす方法

20896

Created On 02/02/23 04:21 AM - Last Modified 12/09/23 00:59 AM

Objective

トラフィックフローがパロアルトネットワークを経由する場合firewall、firewallそのトラフィックフローの「セッション」と呼ばれるものをインストールします。
A セッションは、2 つの単方向フロー (1 つの双方向フロー) によって定義されます。
各セッションは、単一の 6 タプルキーによって一意に識別されます。
- ソースIP住所
- ソースポート
- 行き先IP住所
- 宛先ポート
- プロトコル
- セキュリティゾーン
各firewall(モデルによって異なります) は、セッションテーブルが容量に達する (つまり、セッションテーブルがいっぱいになる) 前に、特定の数のセッションしか保持できません。
この記事は、セッションテーブルで多数のセッションを使用しているトラフィックフローを特定するのに役立ちます (CLI :セッションをすべて表示)

Environment

パロアルトファイアウォール
対応 PAN-OS
セッションテーブルの使用率

Procedure

ソースを特定するIP(s) と目的地IP以下を参照して、最大数のセッションを占有しているトラフィックフローの (s):
1. ウェブUI:ACCタブ > ネットワークアクティビティ > ソースIPアクティビティ、目的地IPアクティビティ/アプリケーションの使用 > セッションラジオボタンを選択
2. ウェブUI:監視 > ログ > トラフィックフィルタを使用して検索しますIP上記で見つかったアドレスACCチャート
3. CLI： >セッションをすべて表示
4. CLI： >システム統計セッションを表示

上記のすべての目標は、それらを検索してどのソースを見つけるかですIPのまたは目的地IPが繰り返し表示されます (またはセッション数が多い)。
これらは、セッションテーブル使用率 % を最も多く占有している可能性が高い、問題のあるセッションです。
それらが組織内の有効なトラフィックフローであるかどうか、または攻撃者/悪意のある/不正なホストまたは不要/偶発的/意図的でないトラフィックフローであるかどうかを判断するために、さらに調査する必要があります。

以下の手順を使用して、これらのトラフィックフローを軽減または停止します (つまり、セッションテーブルの使用率を減らすため)。

ソースからのトラフィックフローをシャットダウン/停止します（firewallそもそも）
作成/調整安全Policyルールそのトラフィックを拒否する
構成、設定ゾーン保護および/またはDoS 保護上でfirewall. 詳細な手順については、 DoS 攻撃のトラブルシューティングとZone Protection プロファイル - 洪水検知

ノート：これらの問題のあるセッションをfirewall上記設定後。これは、以下のコマンドを使用して実行できます。以下の例:

> セッションをクリアすべてのフィルタソース 192.168.51.71
> セッションをすべてクリアするフィルタの宛先 8.8.8.8
> セッションをクリアすべてのフィルターアプリケーションスカイプ

セッションをクリアした後、次のコマンドを実行してセッションが戻らないようにします。CLI指図 " >セッションをすべて表示"また。それ以外の場合は、上記の手順 2 を参照して実行してください

(オプション) セッションの加速エージングを有効にする

ウェブに移動UI:デバイス > セットアップ > セッション > セッション設定 (編集) > 加速エージング (有効)

加速エージングはセッションテーブルの使用率を下げるのに役立ちますが、上記のステップ 2 は、セッションテーブルの使用率を下げるために推奨される方法です。
加速エージングは必要なく、上記の手順 2 で問題が解決されなかった場合にのみ使用してください。
ベストプラクティスに従って加速エージングを構成する方法については、の手順 6 を参照してください。セッション設定の構成とセッション - 老化の加速

Additional Information

セッションの詳細については、一般的に多数のセッションを占有する大量の DDoS 攻撃、または多数のセッションを作成している (したがってセッションテーブルの使用率が増加する) トラフィックを特定するには、次のドキュメントを参照してください。