Épuisement du nombre de sessions sur un pare-feu en raison du trafic DNS

Épuisement du nombre de sessions sur un pare-feu en raison du trafic DNS

33283
Created On 09/25/18 18:50 PM - Last Modified 06/07/23 17:25 PM


Resolution


 

Dans les réseaux modernes actuels, une grande majorité du trafic est le trafic DNS. Cela est particulièrement vrai pour les périphériques de périmètre, allant vers l'Internet.

 

Les sessions DNS sont des sessions très courtes et une requête est envoyée et la réponse revient très rapidement.

Comme ils sont des sessions UDP les pare-feu n'ont pas un moyen de les suivre et ils ne savent pas quand plus de trafic va être envoyé via eux, de sorte que la fermeture des sessions du point de vue du pare-feu est très difficile.

 

C'est pourquoi chaque pare-feu a une valeur recommandée pour un délai d'inversion qui commence dès que la session UDP est établie et après qu'elle a atteint la valeur 0, la session est fermée.

 

Cette valeur est généralement 30seconds sur tous les fournisseurs de pare-feu.

 

Depuis Palo Alto Networks ne app-ID tout le temps, il a une minuterie de temporisation pour le trafic DNS qui n'est pas le même que pour l'UDP habituel. Cela signifie que la minuterie peut être modifiée si nécessaire pour l'application DNS uniquement et n'affectera pas L'autre trafic UDP.

 

Demande client

Dans les réseaux où il y a un nombre de session élevé qui se rapproche de la limite du périphérique, et une grande majorité du trafic est DNS, la valeur de délai d'attente de session peut être changée du 30sec par défaut à une valeur inférieure. Si elle est ordonnée par la session, vérifiez-la en examinant les statistiques du CAC.

 

Solution

  1. Aller à objets > applications.
  2. Recherche de DNS.
  3. Sous les délais d'attente, remplacez la valeur par une valeur appropriée pour le réseau donné.

 

Screen Shot 2014-12-31 à 12.59.08 PM. png

 

Dans L'exemple ci-dessus, nous avons abaissé la valeur à 15 secondes.

 

Cela entraînera les sessions DNS à un délai d'attente plus rapide et les sessions à effacer de la table de session plus rapidement, en abaissant le nombre de sessions simultanées totales sur le périphérique trop.

 

Assurez-vous avant de descendre à une valeur extrême que vous faites un test pour voir à quelle vitesse la communication est effectivement fait entre le client et le serveur, de sorte que la valeur configurée n'est pas trop faible, ce qui provoque la fermeture des sessions sur le pare-feu avant que les données sont complets Ely transféré.

 

Dans la plupart des cas, 15 secondes est une bonne valeur, mais les tests sont toujours recommandés.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClR9CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language