提示和技巧: 会话超时

会话超时定义了在会话中不活动后, 泛 OS 在防火墙上维护会话的时间。默认情况下, 当协议的会话超时过期时, PAN OS 将关闭会话。

在防火墙上, 您可以为 TCP、UDP 和 ICMP 会话定义许多超时。默认超时适用于任何其他类型的会话。所有这些超时都是全局的, 这意味着它们适用于防火墙上该类型的所有会话。

帕洛阿尔托网络设备为这些超时提供了最佳值。但是, 在某些情况下, 这些值可能不适用于您的网络需求。将数字设置得过低会导致对次要网络延迟的敏感性, 并对与防火墙的连接产生不利影响。设置太高的会话超时可能会延迟故障检测。换句话说, 你可能会发现自己在一个情况下, 你想做一些调整在这里和那里。

在 WebGUI 中, 您将在设备 >> 安装程序 > 会话中找到这些设置:

如果需要更改 TCP、UDP、ICMP、固定门户身份验证或其他类型的会话的全局会话超时设置的默认值, 请单击 "编辑" 图标:

请注意, 所有值都以秒为单位:

有关每个超时的详细说明, 请参阅以下文档:

配置会话超时

除了全局设置之外, 您还可以选择在 "对象 > 应用程序" 选项卡中定义单个应用程序的超时。防火墙将应用程序超时应用于已建立状态的应用程序。配置时, 应用程序的超时将覆盖全局会话超时。

在下面的示例中, 请注意 DNS 应用程序的可用选项:

 或者, 也可以使用 CLI 查看这些超时: 

>> 显示会话信息

会话超时
tcp 默认超时: 3600 秒
tcp 会话超时在收到 SYN ACK 之前:
3 路握手前5秒 tcp 会话超时:10 秒
tcp 半关闭会话超时:120
TIME_WAIT 中的秒 tcp 会话超时:15 秒
tcp 会话超时未验证的 RST:30 秒
UDP 默认超时: 30 秒
ICMP 默认超时: 6 秒
其他 IP 默认超时:30 秒
固定门户会话超时:30 秒
会话超时在丢弃状态:
TCP:90 秒, UDP:60 秒, 其他 IP 协议:60 秒                                                                                                                                                                                                                           

也可以编辑 CLI 中的值。以下是运行模式中所见的全局超时值列表:

>> 设置会话超时-tcp <1-15999999>>> 设置会话超时-udp >> 设置会话超时-icmp >> 设置会话超时-默认 >> 设置会话超时-tcpinit >> 设置会话超时-tcphandshake >> 设置会话超时- 
 <1-15999999>
 <1-15999999>
 <1-15999999>
 <1-60>
 <1-60>
tcp 半封闭<1-604800>
> 设置会话超时-tcp 未验证-rst-<1-600>
设置会话超时-tcp 时间等待<1-600>
>> 设置会话超时-捕获-门户<1-15999999>
> 设置会话超时-扫描<5-30>
> 设置会话超时-丢弃-tcp <1-15999999>
>> 设置会话超时-丢弃-udp<1-15999999>
设置会话超时-丢弃-默认<1-15999999></1-15999999>值</1-15999999></1-15999999> </5-30> </1-15999999> </1-600> </1-600> </1-604800> </1-60> </1-60> </1-15999999> </1-15999999> </1-15999999> </1-15999999>

下面是与每个超时有关的注释的相同列表:

>> 设置会话
 超时-固定门户设置捕获门户会话超时值
(秒超时)-默认设置会话默认超时值 (秒) 超时-
丢弃-默认设置非 tcp/udp 会话的超时时间放弃状态
超时-放弃-tcp设置超时 tcp 会话在放弃状态
超时-放弃-udp设置在丢弃状态超时中 udp 会话超时
-icmp 超时- icmp
超时-扫描应用程序滴超时值在秒
超时-tcp超时-tcp
超时-tcp 半闭集会话 tcp 半闭合超时值
(秒超时)-tcp 时间等待集会话 tcp 半关闭超时值
(秒超时)-tcp 未验证-rst 在收到未验证序列号的 RST 后设置会话 tcp 超时值
秒
超时-tcphandshake设置会话 tcp 握手超时值 (秒)
超时-tcpinit设置会话 tcp 初始超时值 (以秒为单位)
超时-udp超时-udp                                                                                                                                                               

以下是示例:

>> 设置会话超时-udp 60
>> 设置会话超时-icmp 15          

请注意, 以上 CLI 命令不是持久性的, 这意味着重新启动设备后, 默认值返回。

要使更改持久化, 必须在配置模式下进行配置更改。

>> 配置
#  

下面是配置模式中所见的全局超时值列表和两个示例命令:

# 设置 deviceconfig 设置会话
  + 超时-固定门户设置俘虏-门户会话超时值以秒
+ 超时-默认设置会话默认超时值秒
+ 超时-丢弃-默认设置超时丢弃状态 + 超时的非 tcp/udp 会话-在
丢弃状态 + 超时时丢弃 tcp 会话超时-在丢弃状态 + 超时时
放弃 udp会话 udp 设置超时
-icmp设置 icmp 超时值 (秒)
+超时-扫描应用程序以秒为单位的超时值
+ 超时-tcp设置 tcp 超时值
(秒 + 超时)-tcp 半闭集会话 tcp 半关闭超时 (在接收第一个
鳍/RST) 值后秒
+超时-tcp 时间等待集会话 tcp 时间等待超时 (在接收第二个
鳍/RST) 值后秒
+ 超时-tcp 未验证-rst设置会话 tcp 超时值在接收到一个 RST 后, 以秒为单位的
序列号
+ 超时-tcphandshake设置 tcp 握手会话超时 (在3路握手
完成之前) 值 (以秒为单位)
+ 超时-tcpinit设置 tcp 初始会话超时 (在收到 SYN ACK 之前)
值 (以秒为单位)
+超时-udp设置 udp 超时值 (以秒为单位)                                                                                                                                                                                   

用于设置会话超时的示例命令:

# 设置 deviceconfig 设置会话超时-固定门户 60
# 设置 deviceconfig 设置会话超时-udp 60   

执行提交以保存对配置的更改:

# 提交

如果这些全局和内置应用程序超时仍然太宽, 并且您希望更精细的控制,那么请配置应用程序重写, 以便某个连接触发自定义应用程序. 与任何内置应用程序一样, 自定义应用程序还具有可配置的超时, 如下所示:

如果需要更多有关如何配置应用程序重写的信息, 请参阅以下文档:

如何创建应用程序重写

一如既往, 随时发表反馈意见或评论如下。

请也喜欢, 如果这篇文章帮助了你以任何方式。

感谢阅读，

金 Wens