如何降低会话表利用率 %

如何降低会话表利用率 %

20884
Created On 02/02/23 04:21 AM - Last Modified 12/09/23 00:59 AM


Objective


  • 当流量流经帕洛阿尔托网络时firewall, 这firewall为该流量安装所谓的“会话”。
  • A 会话由两个单向流(一个双向流)定义。
  • 每个会话都由一个 6 元组键唯一标识:
    • 来源IP地址
    • 源端口
    • 目的地IP地址
    • 目的端口
    • 协议
    • 安全区
  • 每个firewall(因型号而异)在会话表达到其容量(即会话表变满)之前只能容纳一定数量的会话。
  • 本文有助于识别在会话表中占用大量会话的流量(CLI :全部显示会话)

Environment


  • 帕洛阿尔托防火墙
  • 支持的 PAN-OS
  • 会话表利用率

Procedure


  1. 识别来源IP(s) 和目的地IP(s) 占用会话数最多的流量:
    1. 网络UI:ACC选项卡 > 网络活动 > 来源IP活动、目的地IP活动/应用程序使用 > 选择会话单选按钮
    2. 网络UI:监控 > 日志 > 流量使用过滤器搜索IP上面找到的地址ACC图表
    3. CLI: >全部显示会话
    4. CLI: >显示系统统计会话
  • 以上所有内容的目标是搜索它们并找到哪个来源IP的或目的地IP的你看到反复(或大量的会话)。
  • 这些是可能占用最高会话表利用率百分比的违规会话。
  • 应进一步检查它们以确定它们是否是您组织中的有效流量,或者它们是否是攻击者/恶意/流氓主机或不必要/意外/无意的流量。
  1. 使用以下步骤减轻或停止这些流量(即降低会话表利用率 %):
  1. 关闭/停止来自其源头的流量(从到达firewall首先)
  2. 创建/调整安全Policy规则拒绝交通
  3. 配置区域保护和/或拒绝服务保护在firewall. 详细步骤可以在DoS 攻击故障排除区域保护配置文件 - 洪水检测

笔记:从中清除这些有问题的会话firewall以上配置完成后。 这可以使用以下命令完成,示例如下:
> 清除会话所有过滤源 192.168.51.71
> 清除会话所有过滤器目标 8.8.8.8
> 清除会话所有过滤器应用程序 skype

清除会话后,确保它们不会通过运行返回CLI命令 ” >显示所有会话”再次。 否则,请参考并执行上面的步骤2
  1. (可选)启用会话加速老化
导航到网络UI:设备 > 设置 > 会话 > 会话设置(编辑)> 加速老化(启用)
  • 虽然加速老化可以帮助降低会话表利用率,但上面的步骤 2 是降低会话表利用率的首选和推荐方法。
  • 加速老化不是必需的,仅当上述步骤 2 未解决问题时才应使用。
  • 有关根据最佳实践配置加速老化的信息,请参阅中的步骤 6配置会话设置会议 - 加速老化

Additional Information


有关会话的更多信息,通常占用大量会话的容量 DDoS 攻击,或识别正在创建大量会话(从而增加会话表利用率百分比)的任何流量,请参阅以下文档:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000samTCAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language