Cómo reducir el número de sesiones de descifrado simultáneas en el Firewall
11435
Created On 02/06/23 10:15 AM - Last Modified 08/23/24 08:07 AM
Objective
- Para comprobar la capacidad máxima del Firewall número de sesiones de descifrado simultáneas.
- Para comprobar el número actual de sesiones de descifrado simultáneas configuradas en el Firewallarchivo .
- Para acortar la configuración de tiempo de espera para reducir las sesiones de descifrado simultáneasde un Firewallarchivo .
Environment
- Palo Alto Firewalls
- Soportado PAN-OS.
- Número máximo de sesiones de descifrado simultáneas
Procedure
- Compruebe la capacidad máxima de la sesión de descifrado simultáneo para su Firewall
- Utilice la página web Selección de productos y haga clic en Mostrar más debajo del nombre de su plataforma para buscar las sesiones de descifrado simultáneas máximas.
- Para VM-ver Series Firewall , consulte Límites máximos basados en niveles y memoria.
- Compruebe el número actual de sesiones de descifrado simultáneas utilizando Número de sesiones descifradas de SSL SNMP OID y CLI Comando,
- Ajuste la configuración de tiempo de espera para controlar el número de sesiones simultáneas SSL que Firewall mantiene. A continuación se presentan los diferentes procedimientos que puede utilizar. Tenga en cuenta que los siguientes elementos le darán control desde la configuración de tiempo de espera amplia hasta la específica.
- Ajuste la configuración de envejecimiento acelerado desde : Configuración > GUIdispositivo > sesión
- Envejecimiento acelerado
- Umbral de envejecimiento acelerado
- Factor de escalado de envejecimiento acelerado
- Vaya a Objetos > aplicaciones, busque SSLy ajuste la configuración de tiempo de espera resaltada a continuación a un valor inferior.
- Ajuste la configuración de envejecimiento acelerado desde : Configuración > GUIdispositivo > sesión
- Use Consejos y trucos: Cómo crear una anulación de aplicación.En el paso 3, ajuste la configuración de Tiempo de espera en consecuencia y puede usar las Opciones de la captura de pantalla anterior como línea base para saber dónde iniciar los valores de Tiempo de espera.
- Si el número de sesiones descifradas simultáneas no se puede reducir por debajo del límite de capacidad después de seguir las recomendaciones anteriores, considere la posibilidad de actualizar a FW una plataforma de mayor capacidad.