Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Sessions basées sur les flux

Junos OS met en cache les informations de session déclenchées par le premier paquet du flux. La session mise en cache est utilisée par les paquets suivants de ce même flux et le flux inverse de cette session à l’aide du module de flux, qui est intégré au chemin de transfert.

Présentation des caractéristiques de session des pare-feu SRX Series

Des sessions sont créées, en fonction du routage et d’autres informations de classification, pour stocker des informations et allouer des ressources à un flux. Les sessions ont des caractéristiques, dont certaines peuvent être modifiées, par exemple lorsqu’elles sont terminées. Par exemple, vous voudrez peut-être vous assurer qu’une table de session n’est jamais entièrement pleine pour vous protéger contre la tentative d’un attaquant d’inonder la table et ainsi empêcher les utilisateurs légitimes de démarrer des sessions.

En fonction du protocole et du service, une session est programmée avec une valeur de délai d’attente. Par exemple, le délai d’expiration par défaut pour TCP est de 1800 secondes. Le délai d’expiration par défaut pour UDP est de 60 secondes.

Si aucun trafic n’utilise la session avant l’expiration du délai d’expiration du service, celle-ci est vieillie et libérée dans un pool de ressources commun pour être réutilisée. Vous pouvez affecter la durée de vie d’une session de la manière suivante :

  • Vous pouvez spécifier les circonstances d’arrêt des sessions à l’aide de l’une des méthodes suivantes :

    • Vieillissez les sessions en fonction du niveau de remplissage de la table des sessions

    • Définir un délai d’expiration explicite pour l’ancienneté des sessions TCP

    • Configurer une session TCP pour qu’elle soit invalidée lorsqu’elle reçoit un message TCP RST (réinitialisation)

    • Configurez l’instruction fin-invalidate-session pour mettre fin aux sessions lorsque l’un des points de terminaison de session envoie un message FIN(ish) à son homologue.

      Lorsque le point de terminaison homologue reçoit le paquet avec l’indicateur FIN défini, il envoie un message ACK(nowlege). En règle générale, la suppression d’une session à l’aide de cette méthode implique la transmission d’une paire de messages FIN-ACK de chaque session.

  • Vous pouvez configurer les sessions pour qu’elles s’adaptent à d’autres systèmes comme suit :

    • Désactiver les vérifications de sécurité des paquets TCP

    • Modifier la taille maximale du segment

Comprendre le vieillissement agressif des sessions

La table de session est une ressource limitée pour les pare-feu SRX Series. Si la table des sessions est pleine, toutes les nouvelles sessions seront rejetées par l’appareil.

Le mécanisme agressif de vieillissement des sessions accélère le processus d’expiration des sessions lorsque le nombre de sessions dans la table de sessions dépasse le seuil de filigrane supérieur spécifié. Ce mécanisme réduit la probabilité que les pare-feu SRX Series rejettent de nouvelles sessions lorsque la table de sessions est pleine.

Configurez les paramètres suivants pour effectuer un vieillissement de session agressif :

  • high-watermark–L’équipement effectue un vieillissement de session agressif lorsque le nombre de sessions dans la table de sessions dépasse le high-watermark seuil.

  • low-watermark–L’équipement sort d’une session vieillissante et revient à la normale lorsque le nombre de sessions dans la table de sessions passe en dessous low-watermark du seuil.

  • early-ageout –En cas de vieillissement agressif des sessions, les sessions dont le délai d’expiration est inférieur au early-ageout seuil sont marquées comme non valides.

Sur les appareils SRX1400, SRX3400, SRX3600, SRX5600 et SRX5800, le SPU vérifie la table des sessions, localise les sessions pour lesquelles la valeur du délai d’expiration est inférieure à la valeur du délai d’expiration précoce, puis les marque comme non valides. (La prise en charge de la plate-forme dépend de la version de Junos OS de votre installation.)

Exemple : Contrôle de l’interruption de session pour les pare-feu SRX Series

Cet exemple montre comment mettre fin aux sessions des pare-feu SRX Series en fonction de l’ancienneté après un certain temps, ou lorsque le nombre de sessions dans la table de sessions est plein ou atteint un pourcentage spécifié. Vous spécifiez une valeur de délai d’expiration ou le nombre de sessions dans la table des sessions.

Exigences

Avant de commencer, renseignez-vous sur les circonstances de l’arrêt des sessions.

Aperçu

Vous pouvez contrôler l’arrêt de session dans certaines situations, par exemple, après la réception d’une fermeture FIN TCP ou la réception d’un message RST, lorsque vous rencontrez des erreurs ICMP pour UDP et lorsqu’aucun trafic correspondant n’est reçu avant le délai d’expiration du service. Lorsque les sessions sont arrêtées, leurs ressources sont libérées pour être utilisées par d’autres sessions.

Dans cet exemple, vous configurez les circonstances suivantes pour mettre fin à la session :

  • Une valeur de délai d’attente de 20 secondes.

    Note:

    La valeur minimale que vous pouvez configurer pour l’initialisation de session TCP est de 4 secondes. La valeur par défaut est de 20 secondes ; si nécessaire, vous pouvez définir la valeur d’initialisation de la session TCP sur moins de 20 secondes.

  • Une valeur de délai d’expiration explicite de 280 secondes, qui modifie le délai d’expiration de la session TCP pendant l’établissement de liaison à trois voies.

    La commande définit le délai d’expiration initial de la session TCP sur 280 dans la table de session lors de l’établissement de liaison à trois voies TCP. Le minuteur est démarré à la réception du premier paquet SYN et réinitialisé à chaque paquet au cours de l’établissement de liaison à trois voies. Une fois l’établissement de liaison à trois voies terminé, le délai d’expiration de la session est réinitialisé au délai d’expiration défini par l’application spécifique. Si le minuteur expire avant la fin de l’établissement de liaison à trois, la session est supprimée de la table de session.

  • Toute session qui reçoit un message TCP RST (réinitialisation) est invalidée.

Configuration

Procédure

Procédure étape par étape

Pour contrôler l’interruption de session des pare-feu SRX Series :

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans leGuide de l’utilisateur de l’interface de ligne de commande.

Pour contrôler l’interruption de session des pare-feu SRX Series :

  1. Spécifiez une valeur d’ancienneté pour la session.

  2. Configurez une valeur de vieillissement.

  3. Invalide toute session qui reçoit un message TCP RST.

  4. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show security flow commande.

Sessions d’effacement pour les passerelles de services SRX Series

Vous pouvez utiliser la commande pour mettre fin à des clear sessions. Vous pouvez effacer toutes les sessions, y compris les sessions d’un type d’application particulier, les sessions qui utilisent un port de destination spécifique, les sessions qui utilisent une interface ou un port spécifique, les sessions qui utilisent un certain protocole IP, les sessions qui correspondent à un préfixe source et les sessions du gestionnaire de ressources.

Terminaison de sessions pour les passerelles de services SRX Series

Vous pouvez utiliser la commande suivante pour mettre fin à toutes les sessions, à l’exception des sessions de tunnel et de gestionnaire de ressources. La sortie de la commande indique le nombre de sessions effacées. N’oubliez pas que cette commande met fin à la session de gestion par laquelle la commande clear est émise.

Fin d’une session spécifique pour les passerelles de services SRX Series

Vous pouvez utiliser la commande suivante pour mettre fin à la session dont vous spécifiez l’ID de session.

Utilisation de filtres pour spécifier les sessions à terminer pour les passerelles de services SRX Series

Vous pouvez mettre fin à une ou plusieurs sessions en fonction du paramètre de filtre que vous spécifiez pour la clear commande. L’exemple suivant utilise le protocole comme filtre.

Configuration de la valeur du délai d’expiration pour les sessions de flux multicast

Vous pouvez configurer la valeur du délai d’expiration pour les sessions de flux multicast en configurant une application personnalisée et en associant l’application à une stratégie.

Les sessions de flux multicast comportent une session de modèle et une ou plusieurs sessions leaf. Étant donné que ces sessions sont liées entre elles, elles ne peuvent avoir qu’une seule valeur de délai d’expiration. La valeur du délai d’expiration pour les sessions de flux multicast est déterminée en tenant compte des valeurs de délai d’expiration configurées dans les stratégies de session leaf et des valeurs de délai d’expiration du protocole IP. La plus élevée de ces valeurs de délai d’expiration est sélectionnée comme délai d’expiration de la session de flux multicast.

Si aucune valeur de délai d’expiration de session leaf n’est configurée, la valeur du délai d’expiration du protocole IP est automatiquement utilisée comme valeur de délai d’expiration pour la session de flux multicast. Le délai d’expiration du protocole IP est le délai par défaut et n’est pas configurable.

La configuration des délais d’expiration des sessions leaf peut être particulièrement utile pour les flux multicast dont l’intervalle de paquets est plus long que le délai d’expiration du protocole IP par défaut. Par exemple, les flux multicast dont l’intervalle de paquets est supérieur à 60 secondes peuvent subir un vieillissement prématuré des sessions de flux et des pertes de paquets avec le délai d’expiration UDP, qui est toujours de 60 secondes. Pour de tels flux, vous pouvez configurer une valeur de délai d’expiration de session leaf plus élevée et empêcher la perte de paquets.

Pour définir la valeur du délai d’expiration de la session leaf, configurez une application personnalisée et associez-la à une stratégie :

  1. Créez une application personnalisée, spécifiez ses propriétés et spécifiez le contournement du type d’application.
  2. Définissez la valeur du délai d’expiration pour le protocole d’application.
  3. Créez une stratégie.
  4. Associez l’application personnalisée (avec le délai d’expiration configuré) à la stratégie.
  5. Si vous avez terminé de configurer l’appareil, validez la configuration.
  6. Pour vérifier la valeur du délai d’expiration de session mis à jour, entrez la show security flow session commande.

    Dans cette sortie, la section ID de session 2363 affiche une session modèle. Une valeur de délai d’expiration de 498 indique que la valeur du délai d’expiration de la session du modèle est en baisse par rapport à la valeur configurée de 500 secondes.

    La section ID de session 2364 affiche une session leaf. La valeur du délai d’expiration de -1 indique essentiellement que la session ne vieillira pas tant que la session modèle n’aura pas expiré.

    Dans cet exemple, la valeur de délai d’expiration de session leaf configurée de 500 secondes est la valeur de délai d’expiration la plus élevée et est acceptée comme valeur de délai d’expiration de session de modèle pour la session de flux multicast.

Documentation connexe