Trucs et astuces: expirations de session
Resolution
UN délai d'attente de session définit la durée pendant laquelle PAN-OS maintient une session sur le pare-feu après inactivité dans la session. Par défaut, lorsque le délai d'expiration de la session pour le Protocole expire, Pan-OS ferme la session.
Sur le pare-feu, vous pouvez définir un certain nombre d'expirations pour les sessions TCP, UDP et ICMP. Le délai d'attente par défaut s'applique à tout autre type de session. Tous ces délais d'attente sont globaux, ce qui signifie qu'ils s'appliquent à toutes les sessions de ce type sur le pare-feu.
Les dispositifs de réseau de Palo Alto offrent des valeurs optimales pour ces timeouts. Toutefois, dans certains scénarios, ces valeurs peuvent ne pas fonctionner pour vos besoins réseau. La définition d'un nombre trop faible peut provoquer une sensibilité aux retards de réseau mineurs et nuire à la connexion au pare-feu. La définition d'un délai d'attente de session trop élevé peut retarder la détection d'échec. En d'autres termes, vous pourriez vous retrouver dans une situation où vous aimeriez faire quelques ajustements ici et là.
Dans le WebGUI, vous trouverez ces paramètres à Device > Setup > session:
Si vous devez modifier les valeurs par défaut des paramètres de délai de session globaux pour TCP, UDP, ICMP, l'authentification de portail captif ou d'autres types de sessions, cliquez sur l'Icône «Editer»:
Notez que toutes les valeurs sont en secondes:
Veuillez vous reporter au document suivant pour une explication plus détaillée de chaque délai d'attente:
Configurer les délais d'expiration de session
En plus des paramètres globaux, vous pouvez éventuellement définir des délais d'attente pour une application individuelle dans l'onglet objets > applications. Le pare-feu applique les délais d'expiration d'application aux applications dans un état établi. Lorsqu'il est configuré, les délais d'attente d'une application remplacent les délais d'expiration de la session globale.
Notez les options disponibles pour l'application DNS dans L'exemple suivant:
Vous pouvez également utiliser l'interface CLI pour afficher ces délais d'attente:
> Show session infos session
timeout
TCP default timeout: 3600 secs
session TCP Timeout Before SYN-ACK received:5 secs
session TCP Timeout Before 3-Way Handshake:10 secs
TCP Half-Closed Session Timeout:120 secs
session TCP Timeout dans TIME_WAIT:15 secs
session TCP Timeout pour la TVD non vérifiée:30 secondes
UDP default timeout: 30 secs
ICMP Timeout par défaut: 6 secs
autres IP par défaut timeout:30 secs
portail captif Timeout session:30 secs
Session Timeout dans l'état de rejet:
TCP: 90 secs, UDP: 60 secs, d'autres protocoles IP : 60 secs
Vous pouvez également modifier les valeurs dans le CLI. Voici la liste des valeurs de délai d'attente globales telles qu'elles sont vues en mode opérationnel:
> Set Session Timeout-TCP <1-15999999>
> Set Session Timeout-UDP <1-15999999>
> Set Session Timeout-ICMP <1-15999999>
> Set Session Timeout-default <1-15999999>
> Set Session Timeout-tcpinit <1-60>
> Set Session Timeout-tcphandshake <1-60>
> Set Session Timeout-TCP-Half-Closed <1-604800>
> Set délai de session-TCP-non vérifié-RST <1-600>
> Set Session Timeout-TCP-temps-Wait > Set session <1-600>
timeout-captive-Portal <1-15999999>
> Set Session Timeout-Scan <5-30>
> Set Session Timeout-Discard-TCP <1-15999999>
> Set Session Timeout-Discard-UDP <1-15999999>
> Set session Timeout-Discard- <1-15999999></1-15999999> default</1-15999999> </1-15999999> </5-30> </1-15999999> </1-600> </1-600> </1-604800> </1-60> </1-60> </1-15999999> </1-15999999> </1-15999999> </1-15999999>
Voici la même liste avec un commentaire sur chaque timeout:
> Set session
timeout-captive-portail en captivité session portail captif valeur en secondes
timeout-defaultSet session valeur par défaut délai d'attente en secondes
délai d'attente-ignorer-définir par défautTimeout de la session non-TCP/UDP dans délai d'expiration de l'état de rejet-
Ignorer-TCPSet Timeout de la session TCP dans l'état de défausse délai d'expiration
-Ignorer-UDPSet Timeout de la session UDP dans l'état de défausse délai d'expiration
-ICMP timeout-ICMP
timeout-Scan application dépassement du délai d'attente valeur en secondes
timeout-TCPtimeout-TCP
timeout-TCP-Half-Closed Set session TCP Half Closed Timeout valeur en secondes
timeout-TCP-Time-waitSet session TCP demi-délai d'attente fermé valeur en secondes
timeout-TCP-non vérifié-RST définir la valeur du délai d'attente TCP de session après réception d'une TVD
avec numéro de séquence non vérifié en secondes
timeout-tcphandshake Set session TCP Handshake Timeout valeur en secondes
timeout-tcpinitSet session TCP délai d'attente initial en secondes
timeout-UDPtimeout-UDP
Voici des exemples:
> Set session timeout-UDP 60
> Set session timeout-ICMP 15
Notez que les commandes CLI ci-dessus ne sont pas persistantes, ce qui signifie que les valeurs par défaut retournent après le redémarrage du périphérique.
Pour que les modifications soient persistantes, vous devrez modifier la configuration en mode configuration.
> Configure
#
Vous trouverez ci-dessous la liste des valeurs de délai d'attente globales telles qu'elles sont vues en mode configuration et deux exemples de commandes:
# Set deviceconfig Setting session
+ timeout-captive-portail en captivité-session du portail délai de temporisation en secondes
+ timeout-valeur par défaut de lasession délai de temporisation par défaut en secondes
+ délai d'attente-défausse-temporisation définie par défautde session non-TCP/UDP dans l'état
d'abandon + délai d'attente-défausse-TCPSet Timeout de la session TCP dans l'état d'abandon
+ timeout-Discard-UDPSet Timeout de la session UDP dans l'état de défausse
+ timeout-ICMP Set ICMP Timeout valeur en secondes
+ Timeout-Scan application dépassement du délai d'attente en secondes
+ timeout-TCPSet TCP Timeout valeur en secondes
+ timeout-TCP-demi-ferméSet session TCP demi-délai de fermeture (après réception de la première
fin/RST) valeur en secondes
+ Timeout-TCP-Time-waitSet session TCP heure délai d'attente (après réception de
la deuxième fin/RST) valeur en secondes
+ timeout-TCP-non vérifié-RST Set session TCP Timeout valeur après réception d'une TVD avec
numéro de séquence non vérifié en secondes
+ timeout-tcphandshake Set TCP Handshake Session Timeout (avant le 3-Way Handshake
est terminé) valeur en secondes
+ timeout-tcpinitSet TCP délai de session initiale (avant que SYN-ACK est reçu)
valeur en secondes
+ Timeout-UDPSet UDP Timeout valeur en secondes
Exemples de commandes pour définir des délais d'expiration de session:
# Set deviceconfig Setting Session Timeout-captive-Portal 60
# Set deviceconfig Setting Timeout session-UDP 60
Effectuez un commit pour enregistrer les modifications apportées à la configuration:
commit #
Si ces délais d'attente d'application globaux et intégrés sont encore trop larges et que vous souhaitez un contrôle plus granulaire, configurez une substitution d'application afin qu'une certaine connexion déclenche une application personnalisée. Comme toute application intégrée, une application personnalisée a également des délais d'attente configurables, comme illustré ci-dessous:
Reportez-vous au document suivant si vous avez besoin de plus d'informations sur la configuration d'une substitution d'application:
Comment créer une substitution d'Application
Comme toujours, n'hésitez pas à poster un commentaire ou des commentaires ci-dessous.
S'Il vous plaît aussi si cet article vous a aidé en aucune façon.
Merci pour la lecture,
Nathalie wens