Tipps & Tricks: Session-Timeouts
Resolution
EIN Session-Timeout legt fest, wie lange PAN-OS nach Inaktivität in der Session eine Session auf der Firewall unterhält. Standardmäßig schließt PAN-OS, wenn der Sitzungs Ablauf für das Protokoll ausläuft, die Session.
Auf der Firewall können Sie eine Reihe von Timeouts für TCP, UDP und ICMP-Sessions definieren. Der Standard-Timeout gilt für jede andere Art von Sitzung. Alle diese Timeouts sind Global, was bedeutet, dass Sie für alle Sessions dieser Art auf der Firewall gelten.
Die Netzwerkgeräte von Palo Alto bieten optimale Werte für diese Timeouts. In einigen Szenarien können diese Werte jedoch nicht für Ihre Netzwerkbedürfnisse funktionieren. Die Einstellung einer Zahl zu niedrig kann zu einer Empfindlichkeit gegenüber kleineren Netzwerkverzögerungen führen und die Verbindung mit der Firewall beeinträchtigen. Das Setzen einer zu hohen Session-Timeout kann die Fehlererkennung verzögern. Mit anderen Worten, Sie könnten sich in einer Situation befinden, in der Sie hier und da einige Anpassungen vornehmen möchten.
In der WebGUI finden Sie diese Einstellungen bei Device > Setup > Session:
Wenn Sie die Standardwerte der globalen Session-Timeout-Einstellungen für TCP, UDP, ICMP, Captive-Portal-Authentifizierung oder andere Arten von Sessions ändern müssen, klicken Sie auf das "Bearbeiten"-Symbol:
Beachten Sie, dass alle Werte in Sekunden sind:
Eine genauere Erläuterung zu jedem Timeout finden Sie im folgenden Dokument:
Session-Timeouts konfigurieren
Zusätzlich zu den globalen Einstellungen können Sie optional Timeouts für eine individuelle Anwendung im Reiter Objekte > Anwendungen definieren. Die Firewall wendet Anwendungs-Timeouts auf Anwendungen in einem etablierten Zustand an. Wenn die Timeouts für eine Anwendung konfiguriert sind, überschreiben Sie die globalen Session-Timeouts.
Beachten Sie die verfügbaren Optionen für die DNS-Anwendung im folgenden Beispiel:
Alternativ können Sie auch das CLI verwenden, um diese Timeouts zu sehen:
> Session-Info
-Session Timeout
TCP Default Timeout: 3600 Sekunden
TCP Session Timeout vor SYN-ACK erhalten:5 Sekunden
TCP Session Timeout vor 3-Wege-Hand schütteln:10 Sekunden
TCP half-geschlossene Session Timeout:120 Sekunden
TCP Session Timeout in TIME_WAIT:15 Sekunden
TCP Session Timeout für nicht verifizierte RST:30 Sekunden
UDP Standard Timeout: 30 Sekunden
ICMP Default Timeout: 6 Sekunden
andere IP-Standard-Timeout:30 Sekunden
Captive Portal Session Timeout:30 Sekunden
Session Timeout im Discard-Zustand:
TCP: 90 SEkunden, UDP: 60 Sekunden, andere IP-Protokolle: 60 Sekunden
Sie können auch die Werte im CLI bearbeiten. Im folgenden ist die Liste der globalen Timeout-Werte wie im operativen Modus gesehen:
> Session Timeout-TCP <1-15999999>
> Set Session Timeout-UDP <1-15999999>
> setzen Session Timeout-ICMP <1-15999999>
> Set Session Timeout-Standard <1-15999999>
> Set Session Timeout-tcpinit <1-60>
> setzen Session Timeout-tcphandshake <1-60>
> setzen Session Timeout-TCP-halb geschlossen <1-604800>
> Set Session Timeout-TCP-unverifiziert-RST <1-600>
> Session Timeout-TCP-Time-warten <1-600>
> Sitzung Timeout-Captive-Portal <1-15999999>
> Sitzung Timeout-Scan <5-30>
> Sitzung Timeout-ablegen-TCP <1-15999999>
> Set-Session Timeout-ablegen-UDP <1-15999999>
> Set-Session Timeout-Discard-Standard <1-15999999></1-15999999> </1-15999999> </1-15999999> </5-30> </1-15999999> </1-600> </1-600> </1-604800> </1-60> </1-60> </1-15999999> </1-15999999> </1-15999999> </1-15999999>
Hier ist die gleiche Liste mit einem Kommentar zu jedem Timeout:
> Session
Timeout-Captive-Portal setzen Captive Portal Session Timeout Wert in Sekunden
Timeout-Standard-Set-Session-Standard-Timeout-Wert in Sekunden
Timeout-Discard-Standard-Set Timeout von nicht-TCP/UDP-Session in verwerfen Sie den Zustand
Timeout-Discard-TCP-Satz Timeout der TCP-Session im Discard-Zustand
Timeout-Discard-UDP-Satz Timeout von UDP-Session in Discard State
Timeout-ICMP Timeout-ICMP
Timeout-Scan-Anwendung tricksen Timeout-Wert in Sekunden
Timeout-TCPTimeout-TCP
Timeout-TCP-halb geschlossene Set-Session TCP halbgeschlossener Timeout-Wert in Sekunden
Timeout-TCP-Time-warten Sie dieSession TCP halb geschlossen Timeout-Wert in Sekunden
Timeout-TCP-Unverified-RST setzen Sie Session TCP Timeout-Wert nach Erhalt eines RST
mit unverifizierter Sequenznummer in Sekunden
Timeout-tcphandshake setzen Session TCP Handshake Timeout-Wert in Sekunden
Timeout-tcpinitSet Session TCP anfänglicher Timeout-Wert in Sekunden
Timeout-UDPTimeout-UDP
Hier sind Beispiele:
> Session Timeout-UDP 60
> Set Session Timeout-ICMP 15
Beachten Sie, dass die obigen CLI-Befehle nicht dauerhaft sind, was bedeutet, dass die Standardwerte nach dem Neustart des Geräts zurückkehren.
Um die Änderungen dauerhaft zu machen, müssen Sie die Konfigurationsänderungen im Konfigurations Modus vornehmen.
> configure
#
Im folgenden finden Sie die Liste der globalen Timeout-Werte, die im Konfigurations Modus und in zwei Beispiel Befehlen zu sehen sind:
# Set DeviceConfig Einstellung Session
+ Timeout-Captive-Portal Set Captive-Portal Session Timeout-Wert in Sekunden
+ Timeout-Standard-Set-Session-Standard-Timeout-Wert in Sekunden
+ Timeout-Discard-Standard-Set Timeout von nicht-TCP/UDP-Session im Discard-Zustand
+ Timeout-Discard-TCP-Satz Timeout der TCP-Session im Discard-Zustand
+ Timeout-Discard-UDP-Satz Timeout von UDP-Session in Discard
-Zustand + Timeout-ICMP- Set ICMP-Timeout-Wert in Sekunden
+ Timeout-Scan- Anwendung tricksen Timeout-Wert in Sekunden
+ Timeout-TCP-Set TCP Timeout-Wert in Sekunden
+ Timeout-TCP-halb geschlosseneSet-Session TCP halb close Timeout (nach Erhalt
des ersten FIN/RST)-Wertes in Sekunden
+ Timeout-TCP-Time-Wartezeit-Session TCP Time Wait Timeout (nach Erhalt
des zweiten FIN/RST)-Wertes in Sekunden
+ Timeout-TCP-nicht bestätigten-RST- Session TCP Timeout-Wert nach Erhalt eines RST mit
unverifierter Sequenznummer in Sekunden
+ Timeout-tcphandshake setzen Sie TCP Handshake Session Timeout (vor dem 3-Wege-Handshaking
ist abgeschlossen) Wert in Sekunden
+ Timeout-tcpinitsetzen TCP Initial Session Timeout (bevor SYN-ACK empfangen wird)
Wert in Sekunden
+ Timeout-UDP-Set UDP Timeout-Wert in Sekunden
Beispiel Befehle für die Einstellung von Sitzungs Timeouts:
# Set DeviceConfig Setting Session Timeout-Captive-Portal 60
# Satz DeviceConfig Setting Session Timeout-UDP 60
Führen Sie eine Übergabe durch, um Änderungen an der Konfiguration zu speichern:
# commit
Wenn diese globalen und eingebauten Anwendungs-Timeouts noch zu breit sind und Sie mehr granulare Steuerung wünschen, dann konfigurieren Sie eine Anwendung überschreiben, so dass eine bestimmte Verbindung eine benutzerdefinierte Anwendung auslöst. Wie jede eingebaute Anwendung hat auch eine eigene Anwendung Konfigurierbare Timeouts, wie unten dargestellt:
Wenn Sie weitere Informationen über die Konfiguration einer Anwendung benötigen, lesen Sie bitte das folgende Dokument:
Wie man eine Anwendung überFahren kann
Wie immer, fühlen Sie sich frei, Feedback oder Kommentare unten zu Posten.
Bitte mögen Sie auch, wenn dieser Artikel Ihnen in irgendeiner Weise geholfen hat.
Danke fürs Lesen,
Kim Wens