Sitzungsnummer Erschöpfung auf einer Firewall wegen DNS-Verkehr

Sitzungsnummer Erschöpfung auf einer Firewall wegen DNS-Verkehr

33235
Created On 09/25/18 18:50 PM - Last Modified 06/07/23 17:25 PM


Resolution


 

In den heutigen modernen Netzwerken ist ein großer Teil des Verkehrs der DNS-Verkehr. Dies gilt insbesondere für die Perimeter-Geräte, die in Richtung Internet gehen.

 

Die DNS-Sessions sind sehr kurzlebige Sessions und eine Abfrage wird gesendet und die Antwort kommt sehr schnell zurück.

Da es sich um UDP-Sessions handelt, haben die Firewalls keine Möglichkeit, Sie zu verfolgen, und Sie wissen nicht, wann kein Verkehr mehr über Sie gesendet wird, so dass das Schließen der Sessions aus der Sicht der Firewall sehr schwierig ist.

 

Aus diesem Grund hat jede Firewall einen empfohlenen Wert für eine Auszeit, die beginnt, sobald die UDP-Session etabliert ist und nachdem Sie den Wert 0 erreicht hat, ist die Session geschlossen.

 

Dieser Wert liegt in der Regel bei 30 Sekunden über alle Firewall-Anbieter.

 

Da Palo Alto Networks die ganze Zeit APP-ID macht, hat es einen Auszeit-Timer für den DNS-Traffic, der nicht das gleiche ist wie für übliche UDP. Das bedeutet, dass der Timer bei Bedarf nur für die DNS-Anwendung geändert werden kann und den anderen UDP-Verkehr nicht beeinträchtigen wird.

 

Problem

In Netzwerken, in denen es eine hohe Sitzungs Zählung gibt, die nahe an die Grenze des Geräts kommt, und eine große Mehrheit des Verkehrs DNS ist, kann der Sitzungs-Timeout-Wert von der Standard-30sec auf einen niedrigeren Wert geändert werden. Wenn Sie von der Sitzung bestellt werden, überprüfen Sie dies mit Blick auf die ACC-Statistiken.

 

Lösung

  1. Gehen Sie zu Objects > Anwendungen.
  2. Suche nach DNS.
  3. Unter den Timeouts ändern Sie den Wert auf einen angemessenen Wert für das gegebene Netzwerk.

 

Screenshot 2014-12-31 um 12.59.08 Uhr. png

 

Im obigen Beispiel haben wir den Wert auf 15 Sekunden gesenkt.

 

Dies führt dazu, dass die DNS-Sessions schneller Timeout und die Sessions schneller vom Sitzungstisch gelöscht werden, was auch die Anzahl der gesamten parallelen Sitzungen auf dem Gerät senkt.

 

Vergewissern Sie sich, bevor Sie auf einen extremen Wert gehen, den Sie testen, um zu sehen, wie schnell die Kommunikation zwischen dem Client und dem Server tatsächlich durchgeführt wird, so dass der konfigurierte Wert nicht zu niedrig ist, was dazu führt, dass die Sitzungen auf der Firewall schließen, bevor die Daten vollständig sind. Ely übertragen.

 

In den meisten Fällen sind 15 Sekunden ein guter Wert, aber Tests werden immer empfohlen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClR9CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language