Tipps & Tricks: Session-Timeouts

EIN Session-Timeout legt fest, wie lange PAN-OS nach Inaktivität in der Session eine Session auf der Firewall unterhält. Standardmäßig schließt PAN-OS, wenn der Sitzungs Ablauf für das Protokoll ausläuft, die Session.

Auf der Firewall können Sie eine Reihe von Timeouts für TCP, UDP und ICMP-Sessions definieren. Der Standard-Timeout gilt für jede andere Art von Sitzung. Alle diese Timeouts sind Global, was bedeutet, dass Sie für alle Sessions dieser Art auf der Firewall gelten.

Die Netzwerkgeräte von Palo Alto bieten optimale Werte für diese Timeouts. In einigen Szenarien können diese Werte jedoch nicht für Ihre Netzwerkbedürfnisse funktionieren. Die Einstellung einer Zahl zu niedrig kann zu einer Empfindlichkeit gegenüber kleineren Netzwerkverzögerungen führen und die Verbindung mit der Firewall beeinträchtigen. Das Setzen einer zu hohen Session-Timeout kann die Fehlererkennung verzögern. Mit anderen Worten, Sie könnten sich in einer Situation befinden, in der Sie hier und da einige Anpassungen vornehmen möchten.

In der WebGUI finden Sie diese Einstellungen bei Device > Setup > Session:

Wenn Sie die Standardwerte der globalen Session-Timeout-Einstellungen für TCP, UDP, ICMP, Captive-Portal-Authentifizierung oder andere Arten von Sessions ändern müssen, klicken Sie auf das "Bearbeiten"-Symbol:

Beachten Sie, dass alle Werte in Sekunden sind:

Eine genauere Erläuterung zu jedem Timeout finden Sie im folgenden Dokument:

Session-Timeouts konfigurieren

Zusätzlich zu den globalen Einstellungen können Sie optional Timeouts für eine individuelle Anwendung im Reiter Objekte > Anwendungen definieren. Die Firewall wendet Anwendungs-Timeouts auf Anwendungen in einem etablierten Zustand an. Wenn die Timeouts für eine Anwendung konfiguriert sind, überschreiben Sie die globalen Session-Timeouts.

Beachten Sie die verfügbaren Optionen für die DNS-Anwendung im folgenden Beispiel:

 Alternativ können Sie auch das CLI verwenden, um diese Timeouts zu sehen: 

> Session-Info

-Session Timeout
TCP Default Timeout: 3600 Sekunden
TCP Session Timeout vor SYN-ACK erhalten:5 Sekunden
TCP Session Timeout vor 3-Wege-Hand schütteln:10 Sekunden
TCP half-geschlossene Session Timeout:120 Sekunden
TCP Session Timeout in TIME_WAIT:15 Sekunden
TCP Session Timeout für nicht verifizierte RST:30 Sekunden
UDP Standard Timeout: 30 Sekunden
ICMP Default Timeout: 6 Sekunden
andere IP-Standard-Timeout:30 Sekunden
Captive Portal Session Timeout:30 Sekunden
Session Timeout im Discard-Zustand:
TCP: 90 SEkunden, UDP: 60 Sekunden, andere IP-Protokolle: 60  Sekunden                                                                                                                                                                                                                           

Sie können auch die Werte im CLI bearbeiten. Im folgenden ist die Liste der globalen Timeout-Werte wie im operativen Modus gesehen:

> Session Timeout-TCP <1-15999999> 
> Set Session Timeout-UDP <1-15999999>
> setzen Session Timeout-ICMP <1-15999999>
> Set Session Timeout-Standard <1-15999999>
> Set Session Timeout-tcpinit <1-60>
> setzen Session Timeout-tcphandshake <1-60>
> setzen Session Timeout-TCP-halb geschlossen <1-604800>
> Set Session Timeout-TCP-unverifiziert-RST <1-600>
> Session Timeout-TCP-Time-warten <1-600>
> Sitzung Timeout-Captive-Portal <1-15999999>
> Sitzung Timeout-Scan <5-30>
> Sitzung Timeout-ablegen-TCP <1-15999999>
> Set-Session Timeout-ablegen-UDP <1-15999999>
> Set-Session Timeout-Discard-Standard <1-15999999></1-15999999> </1-15999999> </1-15999999> </5-30> </1-15999999> </1-600> </1-600> </1-604800> </1-60> </1-60> </1-15999999> </1-15999999> </1-15999999> </1-15999999>

Hier ist die gleiche Liste mit einem Kommentar zu jedem Timeout:

> Session 
  Timeout-Captive-Portal setzen Captive Portal Session Timeout Wert in Sekunden
 Timeout-Standard-Set-Session-Standard-Timeout-Wert in Sekunden
 Timeout-Discard-Standard-Set Timeout von nicht-TCP/UDP-Session in verwerfen Sie den Zustand
 Timeout-Discard-TCP-Satz Timeout der TCP-Session im Discard-Zustand
 Timeout-Discard-UDP-Satz Timeout von UDP-Session in Discard State
 Timeout-ICMP Timeout-ICMP
 Timeout-Scan-Anwendung tricksen Timeout-Wert in Sekunden
 Timeout-TCPTimeout-TCP
 Timeout-TCP-halb geschlossene Set-Session TCP halbgeschlossener Timeout-Wert in Sekunden
 Timeout-TCP-Time-warten Sie dieSession TCP halb geschlossen Timeout-Wert in Sekunden
 Timeout-TCP-Unverified-RST  setzen Sie Session TCP Timeout-Wert nach Erhalt eines RST 
mit unverifizierter Sequenznummer in Sekunden
 Timeout-tcphandshake setzen Session TCP Handshake Timeout-Wert in Sekunden
 Timeout-tcpinitSet Session TCP anfänglicher Timeout-Wert in Sekunden 
Timeout-UDPTimeout-UDP                                                                                                                                                               

Hier sind Beispiele:

>  Session Timeout-UDP 60
> Set Session Timeout-ICMP 15          

Beachten Sie, dass die obigen CLI-Befehle nicht dauerhaft sind, was bedeutet, dass die Standardwerte nach dem Neustart des Geräts zurückkehren.

Um die Änderungen dauerhaft zu machen, müssen Sie die Konfigurationsänderungen im Konfigurations Modus vornehmen.

> configure
#  

Im folgenden finden Sie die Liste der globalen Timeout-Werte, die im Konfigurations Modus und in zwei Beispiel Befehlen zu sehen sind:

# Set DeviceConfig Einstellung Session 
  + Timeout-Captive-Portal Set Captive-Portal Session Timeout-Wert in Sekunden
+ Timeout-Standard-Set-Session-Standard-Timeout-Wert in Sekunden
+ Timeout-Discard-Standard-Set Timeout von nicht-TCP/UDP-Session im Discard-Zustand
+ Timeout-Discard-TCP-Satz Timeout der TCP-Session im Discard-Zustand
+ Timeout-Discard-UDP-Satz Timeout von UDP-Session in Discard
-Zustand + Timeout-ICMP- Set ICMP-Timeout-Wert in Sekunden
+ Timeout-Scan- Anwendung tricksen Timeout-Wert in Sekunden
+ Timeout-TCP-Set TCP Timeout-Wert in Sekunden
+ Timeout-TCP-halb geschlosseneSet-Session TCP halb close Timeout (nach Erhalt 
des ersten FIN/RST)-Wertes in Sekunden
+ Timeout-TCP-Time-Wartezeit-Session TCP Time Wait Timeout (nach Erhalt 
des zweiten FIN/RST)-Wertes in Sekunden
+ Timeout-TCP-nicht bestätigten-RST- Session TCP Timeout-Wert nach Erhalt eines RST mit 
unverifierter Sequenznummer in Sekunden 
+ Timeout-tcphandshake setzen Sie TCP Handshake Session Timeout (vor dem 3-Wege-Handshaking 
ist abgeschlossen) Wert in Sekunden
+ Timeout-tcpinitsetzen TCP Initial Session Timeout (bevor SYN-ACK empfangen wird) 
Wert in Sekunden
+ Timeout-UDP-Set UDP Timeout-Wert  in Sekunden                                                                                                                                                                                    

Beispiel Befehle für die Einstellung von Sitzungs Timeouts:

# Set DeviceConfig Setting Session Timeout-Captive-Portal 60
# Satz DeviceConfig Setting Session Timeout-UDP 60   

Führen Sie eine Übergabe durch, um Änderungen an der Konfiguration zu speichern:

# commit

Wenn diese globalen und eingebauten Anwendungs-Timeouts noch zu breit sind und Sie mehr granulare Steuerung wünschen, dann konfigurieren Sie eine Anwendung überschreiben, so dass eine bestimmte Verbindung eine benutzerdefinierte Anwendung auslöst. Wie jede eingebaute Anwendung hat auch eine eigene Anwendung Konfigurierbare Timeouts, wie unten dargestellt:

Wenn Sie weitere Informationen über die Konfiguration einer Anwendung benötigen, lesen Sie bitte das folgende Dokument:

Wie man eine Anwendung überFahren kann

Wie immer, fühlen Sie sich frei, Feedback oder Kommentare unten zu Posten.

Bitte mögen Sie auch, wenn dieser Artikel Ihnen in irgendeiner Weise geholfen hat.

Danke fürs Lesen,

Kim Wens