FW Fastpath — Palo Alto

Comprendre les sessions et le traitement rapide des paquets

1 — Concept
2 — Pipeline Fastpath
3 — Sessions
4 — Dépannage

⚡ Slowpath vs Fastpath

🐢 Slowpath
→ Nouveau flux
→ Forwarding lookup
→ NAT lookup
→ Security Policy
→ App-ID
→ Création de session

Coûteux en ressources
⚡ Fastpath
→ Session déjà connue
→ Lookup session table
→ NAT appliqué
→ SSL decrypt si besoin
→ Content inspection
→ Transmit

Très rapide, optimisé
```
La session table est le cœur du Fastpath. C'est une table en mémoire qui contient tous les flux actifs autorisés par le Slowpath.
Simulateur de flux
👤 User
192.168.1.10
🔥 Firewall
🖥 Serveur
8.8.8.8
// Clique sur un bouton pour simuler un flux...
```

🕐 Durée de vie d'une session

Chaque session a un timer. Si aucun paquet ne passe pendant ce délai, la session est supprimée.
TCP (établi) 3600 sec Session HTTP/HTTPS active
TCP (demi-fermé) 120 sec FIN envoyé mais pas ACK
UDP 30 sec DNS, NTP, etc.
ICMP 6 sec Ping
⚠️ Si un user se plaint que sa connexion "coupe" régulièrement → timer de session trop court ou application silencieuse (pas de keepalive).

🔄 Les étapes du Fastpath

Clique sur chaque étape pour le détail

```
1
Firewall Session Lookup
Le firewall cherche si une session existe pour ce flux
Le firewall compare le paquet entrant avec sa session table.
Il cherche un match sur : IP src, IP dst, port src, port dst, protocole, interface.

✅ Match trouvé → Fastpath, traitement rapide
❌ Pas de match → Slowpath, nouvelle analyse complète

CLI :
show session all filter source 192.168.1.10
2
L2-L4 Firewall Processing
Vérifie l'état de la session, applique le NAT
Trois actions à cette étape :

1. Vérification d'état : la session est-elle encore en état actif ? (pas en closing, discard...)
2. Mise à jour du timer : chaque paquet remet le compteur à zéro
3. Application du NAT : la traduction d'adresse mémorisée lors du Slowpath est appliquée

Si la session n'est plus en état actif → paquet discard.
3
SSL Proxy : decrypt si applicable
Déchiffrement SSL/TLS si une Decryption Policy s'applique
Si le trafic est HTTPS et qu'une Decryption Policy matche, le firewall déchiffre le contenu.

Cela permet d'inspecter le contenu réel des flux chiffrés (antivirus, URL filtering, IPS...).

⚠️ Le déchiffrement consomme des ressources CPU — à surveiller sur les firewalls chargés.

On verra la Decryption Policy en détail dans un module dédié.
4
Session App identified ?
L'application du flux est-elle déjà identifiée ?
Palo Alto utilise l'App-ID pour identifier l'application réelle du flux.

Oui → on passe directement à la vérification Content Inspection
Non → le flux part vers le module Application Identification pour analyse (on verra ça dans le bloc 3)

💡 Sur les premières secondes d'un flux, l'application peut ne pas encore être identifiée — c'est normal.
5
Content Inspection applicable ?
Faut-il inspecter le contenu du paquet ?
Si un Security Profile est attaché à la règle qui a autorisé le flux (antivirus, IPS, URL filtering...), le contenu est inspecté.

Non → le paquet est transmis directement (Forwarding/Egress)
Oui → passage par le module Content Inspection SP3/CTD

On verra Content Inspection dans le bloc 5.
```

📋 Session Table — Exemple

Clique sur une session pour voir le détail

```
ID Src IP:Port Dst IP:Port Proto App État Règle
10042 192.168.1.10:54231 142.250.74.46:443 TCP ssl ACTIVE Allow-web
10043 192.168.1.15:61022 8.8.8.8:53 UDP dns ACTIVE Allow-DNS
10044 192.168.1.20:49812 203.0.113.5:80 TCP web-browsing CLOSING Allow-web
10045 192.168.1.30:55100 1.2.3.4:4444 TCP unknown DISCARD Deny-all
ℹ️ DISCARD ≠ session inexistante — Palo Alto crée quand même une entrée en session table pour les flux bloqués, afin d'éviter de re-analyser chaque paquet d'un flux déjà refusé.
```

💻 Commandes CLI — Sessions

// Voir toutes les sessions actives
admin@PA> show session all

// Filtrer par IP source
admin@PA> show session all filter source 192.168.1.10

// Voir le détail d'une session (remplace 10042 par l'ID)
admin@PA> show session id 10042

// Effacer une session bloquée (utile pour dépannage)
admin@PA> clear session id 10042

// Voir les stats de la session table
admin@PA> show session info

🔧 Dépannage — Problèmes liés aux sessions

```
1
Un user avait accès, maintenant plus rien subitement
Cause probable : session expirée ou corrompue.

Vérification :
admin@PA> show session all filter source 192.168.1.10
→ Si aucune session → le Slowpath va recréer une nouvelle session au prochain paquet
→ Si session en état DISCARD → clear session id <ID>
✅ Souvent, forcer la reconnexion du client suffit — une nouvelle session Slowpath sera créée.
2
Connexion qui "coupe" toutes les X minutes
Cause probable : timer de session trop court pour une application silencieuse (pas de keepalive).

Vérification :
admin@PA> show session id <ID>
→ Regarde le champ timeout — combien de secondes restantes ?
Solution : augmenter le timer dans Network > Virtual Router > Protocol > Session Timer ou configurer un keepalive au niveau applicatif.
3
Pas de log dans Monitor > Traffic pour un flux
Cause probable : le paquet ne passe même pas par le Slowpath — problème en amont.

Checklist :

→ Le paquet arrive-t-il sur le firewall ? Vérifier avec show interface <eth1/1>
→ La route existe-t-elle ? test routing fib-lookup virtual-router default ip <DST>
→ La zone est-elle correcte ? Network > Interfaces

⚠️ Sans log = le problème est avant la Security Policy. Commencer par le routing et les zones.
4
Session table pleine — firewall sous charge
Vérification :
admin@PA> show session info
→ Regarde Number of sessions supported vs Active sessions
Si la table est proche du maximum → risque de refus de nouvelles connexions même pour du trafic légitime.

Action : réduire les timers, nettoyer les vieilles sessions avec clear session all (⚠️ coupe tout le trafic temporairement).
```