在某些情况下, 外部服务器、服务或装置可能发送鳍或 RST 数据包, 而不是立即关闭会话, 会话将保持打开状态, 时间长于预期。
在 PAN OS 6.0 中, 接收翅片/RST 数据包后要关闭的会话的默认计时器为30秒。
>> 显示会话信息 |匹配超时
会话超时
tcp 默认超时: 3600 秒
tcp 会话超时在收到 SYN 确认之前:
3 路握手前5秒 tcp 会话超时:10 秒
tcp 会话超时后鳍/RST:30秒
UDP 默认超时:30 秒
ICMP 默认超时: 6 秒
其他 IP 默认超时:30 秒
捕获的门户会话超时:30 秒4 >
此超时时间可提高到600秒:
# 设置 deviceconfig 设置会话超时-tcpwait
<value> 1-600>> 设置会话 tcp 等待超时 (在收到鳍/RST) 值后以秒为单位 </value>
>> 显示会话信息 |
在鳍/RST 后匹配鳍 TCP 会话超时: 150 秒
在 PAN OS 6.1 和更高版本中, 引入了一个称为 "半封闭会话超时" 的新功能, 它使用两个不同的计时器在关闭会话之前允许更多的时间, 只有一个鳍/RST 已经收到, 并允许更快关闭时, 双方已发送鳍/Rst。如果只接收到一个鳍/rst, 则默认情况下, 超时时间已经设置为120秒, 而会话终止后, 双方发送鳍/rst 的计时器是一个快速的15秒。
>> 显示会话信息 |匹配超时
会话超时
tcp 默认超时: 3600 秒
tcp 会话超时在收到 SYN ACK 之前:
3 路握手前5秒 tcp 会话超时:10 秒
tcp 半关闭会话超时: 120 秒
tcp 会话超时TIME_WAIT:15 秒
TCP 会话超时为未验证的 RST:30 秒
UDP 默认超时:30 秒
ICMP 默认超时: 6 秒
其他 IP 默认超时:30 秒
固定门户会话超时:30 秒
为使上述情况更为宽大, 半封闭时间上限增加了604800秒或整整7天, 而等待时间, 在收到双方的鳍/RST 后, 仍然可以增加600秒或降低到1秒, 甚至更快的会话终止。
# 设置 deviceconfig 设置会话超时-tcp 半闭
<value><1-604800>集会话 tcp 半关闭超时 (在接收第一个鳍/RST) 值后以秒为单位
设置 deviceconfig 设置会话超时-tcp 时间等待
<value><1-600>设置会话 tcp 时间等待超时 (第二个翅片/RST) 值在秒内接收后</1-600> </value> </1-604800> </value>