DNS トラフィックによるファイアウォールでのセッション番号の枯渇

今日の近代的なネットワークでは、トラフィックの大部分は、DNS のトラフィックです。これは、特に境界デバイスについては、インターネットに向かって、そうです。

DNS セッションは非常に短命のセッションであり、クエリが送信され、応答が本当に高速に戻ってくる。

彼らは UDP セッションであるため、ファイアウォールは、それらを追跡する方法を持っていないし、彼らはこれ以上のトラフィックがそれらを介して送信されるとしているときにはわからないので、ファイアウォールの観点からセッションの終了は非常に難しいです。

そのため、すべてのファイアウォールには、UDP セッションが確立され、値0に達すると、セッションが閉じられるとすぐに開始されるタイムアウトの推奨値があります。

この値は、通常、すべてのファイアウォールベンダに30秒ます。

パロアルトネットワークは、すべての時間をアプリケーション ID を行うので、それは通常の UDP と同じではない DNS トラフィックのタイムアウトタイマを持っています。これは、DNS アプリケーションに必要な場合にのみタイマを変更できることを意味し、他の UDP トラフィックには影響しません。

問題

デバイスの制限に近いセッション数が多いネットワークで、トラフィックの大部分が DNS である場合、セッションタイムアウト値はデフォルトの30sec から低い値に変更できます。セッションによって指示された場合は、ACC 統計を見て確認してください。

ソリューション

1. オブジェクト > アプリケーションに移動します。
2. DNS を検索します。
3. [タイムアウト] で、指定したネットワークの値を適切な値に変更します。

上の例では、値を15秒に下げています。

これにより、DNS セッションのタイムアウトが速くなり、セッションテーブルからセッションがクリアされ、デバイスの同時セッションの合計数も減少します。

クライアントとサーバーの間で通信が実際に行われる速さを確認するためにテストを行うことを極端な値にする前に確認し、構成された値が低すぎないようにして、データが完になる前にセッションをファイアウォールで閉じるようにします。エリーが転送された

ほとんどの場合、15秒は良い値ですが、テストは常に推奨されます。