由于 DNS 通信量, 防火墙上的会话数耗尽

在当今的现代网络中, 大部分流量是 DNS 通信。对于外围设备来说, 这一点尤其适用, 面向互联网。

DNS 会话是非常短暂的会话, 并且发送了一个查询, 响应返回的速度非常快。

因为它们是 UDP 会话, 所以防火墙没有跟踪它们的方法, 他们也不知道何时不会再通过它们发送通信, 因此从防火墙的角度关闭会话是非常困难的。

这就是为什么每个防火墙都有一个超时的建议值, 一旦建立 UDP 会话, 并且在它命中值0之后, 会话就会关闭。

在所有防火墙供应商中, 此值通常为30seconds。

由于帕洛阿尔托网络一直都在应用 ID, 所以它有一个超时计时器, 用于 DNS 通信, 这与通常的 UDP 不同。这意味着只有在 DNS 应用程序需要时才能更改计时器, 并且不会影响其他 UDP 通信量。

问题

在具有接近设备限制的高会话计数的网络中, 大多数通信量为 DNS, 会话超时值可以从默认30sec 更改为较低的值。如果会话命令, 请查看 ACC 统计信息以验证这一点。

解决方案

1. 转到对象 > 应用程序。
2. 搜索 DNS。
3. 在 "超时" 下, 将值更改为给定网络的适当值。

在上面的示例中, 我们将值降低为15秒。

这将导致 DNS 会话的超时速度更快, 会话从会话表中清除的速度会更快, 同时也会降低设备上的并发会话总数。

在下至一个极端值之前, 请确保进行测试, 以查看客户端和服务器之间实际进行通信的速度, 以便配置的值不太低, 这会导致在数据完整之前在防火墙上关闭会话。伊利转移。

在大多数情况下, 15 秒是一个很好的值, 但是测试总是推荐的。