In bestimmten Szenarien kann ein externer Server, Service oder Gerät ein FIN oder RST-Paket senden, aber anstatt die Sitzung sofort zu schließen, bleibt die Sitzung für eine länger als erwartet geöffnete Zeit offen.
In PAN-OS 6,0 beträgt der Standard-Timer für eine Session, die nach dem Empfang eines FIN/RST-Pakets geschlossen werden soll, 30 Sekunden.
> Session-Info | Match Timeout
Session Timeout
TCP Default Timeout: 3600 Sekunden
TCP Session Timeout vor SYN-ACK erhalten: 5 Sekunden
TCP Session Timeout vor 3-Wege-Handshaking: 10 Sekunden
TCP Session Timeout nach FIN/RST: 30 Sekunden
UDP Standard Timeout: 30 Sekunden
ICMP Default Timeout: 6 Sekunden
andere IP-Standard-Timeout: 30 Sekunden
Captive Portal Session Timeout: 30 Sekunden</c 4 >
Dieser Timeout kann auf bis zu 600 Sekunden gesteigert werden:
# Set DeviceConfig Setting Session Timeout-tcpwait
<value> 1-600> setzen Sie Session TCP Wait Timeout (nach Erhalt des FIN/RST) Wertes in Sekunden </value>
> Session-Info | Match FIN
TCP Session Timeout nach FIN/RST: 150 Sekunden
In PAN-OS 6,1 und später wurde eine neue Funktion eingeführt, die "half-closed Session Timeout" genannt wird, die zwei verschiedene Timer verwendet, um mehr Zeit vor dem Schließen von Sitzungen zu ermöglichen, in denen nur ein FIN/RST empfangen wurde, und einen schnelleren Verschluss zu ermöglichen, wenn beide Seiten eine FIN/ Ersten. Wenn nur ein FIN/RST empfangen wird, ist der Timeout standardmäßig bereits auf 120 Sekunden eingestellt, während der Timer für die Sitzungs Abbruch, nachdem beide Seiten einen FIN/RST senden, schnelle 15 Sekunden beträgt.
> Session-Info | Match Timeout
Session Timeout
TCP Default Timeout: 3600 Sekunden
TCP Session Timeout vor SYN-ACK erhalten: 5 Sekunden
TCP Session Timeout vor 3-Wege-Handshaking: 10 Sekunden
TCP halb-Closed Session Timeout: 120 Sekunden
TCP Session Timeout in TIME_WAIT: 15 Sekunden
TCP Session Timeout für nicht verifizierte RST: 30 Sekunden
UDP Standard Timeout: 30 SEkunden
ICMP Default Timeout: 6 SEkunden
andere IP-Standard-Timeout: 30 Sekunden
Captive Portal Session Timeout: 30 Sekunden
Um im oben genannten Szenario noch mehr Nachsicht zu ermöglichen, wurde die halb geschlossene Zeit Decke auf 604800 Sekunden oder volle 7 Tage erhöht, während das Zeit warten nach Erhalt eines FIN/RST von beiden Seiten noch bis zu 600 Sekunden erhöht oder gesenkt werden kann, um 1 Sekunde für noch schnellere Sitzungs Abbruch.
# Set DeviceConfig Setting Session Timeout-TCP-halb geschlossene
<value> <1-604800>Set-Session TCP halb close Timeout (nach dem Empfang des ersten FIN/RST)-Wertes in Sekunden
# Set DeviceConfig Einstellung Session Timeout-TCP-Zeit-Wartezeit
<value><1-600>setzen Sitzung TCP Zeit Wartezeit Timeout ( nach Erhalt des zweiten FIN/RST) Wertes in Second</1-600> </value> </1-604800> </value>