Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Sesiones basadas en flujos

Junos OS almacena en caché la información de sesión desencadenada por el primer paquete del flujo. La sesión almacenada en caché es utilizada por paquetes posteriores de ese mismo flujo y el flujo inverso de esa sesión utilizando el módulo de flujo, que está integrado en la ruta de reenvío.

Descripción de las características de la sesión para firewalls de la serie SRX

Las sesiones se crean, basadas en el enrutamiento y otra información de clasificación, para almacenar información y asignar recursos para un flujo. Las sesiones tienen características, algunas de las cuales puede cambiar, como cuándo finalizan. Por ejemplo, es posible que desee asegurarse de que una tabla de sesión nunca esté completamente llena para protegerse contra el intento de un atacante de inundar la tabla y, por lo tanto, evitar que los usuarios legítimos inicien sesiones.

Según el protocolo y el servicio, una sesión se programa con un valor de tiempo de espera. Por ejemplo, el tiempo de espera predeterminado para TCP es de 1800 segundos. El tiempo de espera predeterminado para UDP es de 60 segundos.

Si ningún tráfico utiliza la sesión antes del tiempo de espera del servicio, la sesión se caduca y se libera a un grupo de recursos común para su reutilización. Puede afectar la duración de una sesión de las siguientes maneras:

  • Puede especificar los motivos para finalizar las sesiones mediante cualquiera de los métodos siguientes:

    • Edad de las sesiones en función de lo llena que esté la tabla de sesiones

    • Establecer un tiempo de espera explícito para la caducidad de las sesiones TCP

    • Configurar una sesión TCP para que se invalide cuando reciba un mensaje TCP RST (restablecimiento)

    • Configure la instrucción para que termine las fin-invalidate-session sesiones cuando cualquier extremo de sesión envíe un mensaje FIN(ish) a su par.

      Cuando el extremo del mismo nivel recibe el paquete con el indicador FIN establecido, envía un mensaje ACK(nowlege). Normalmente, el desactivamiento de una sesión con este método implica la transmisión de un par de mensajes FIN-ACK de cada sesión.

  • Puede configurar sesiones para adaptarse a otros sistemas de la siguiente manera:

    • Deshabilitar las comprobaciones de seguridad de paquetes TCP

    • Cambiar el tamaño máximo de segmento

Entendiendo el envejecimiento agresivo de la sesión

La tabla de sesión es un recurso limitado para los firewalls de la serie SRX. Si la tabla de sesión está llena, cualquier sesión nueva será rechazada por el dispositivo.

El mecanismo agresivo de antigüedad de la sesión acelera el proceso de tiempo de espera de la sesión cuando el número de sesiones en la tabla de sesión supera el umbral de marca de agua alta especificado. Este mecanismo minimiza la probabilidad de que los firewalls de la serie SRX rechacen nuevas sesiones cuando la tabla de sesiones esté llena.

Configure los siguientes parámetros para llevar a cabo una antigüedad agresiva de la sesión:

  • high-watermark–El dispositivo realiza un envejecimiento agresivo de la sesión cuando el número de sesiones en la tabla de sesiones supera el high-watermark umbral.

  • low-watermark–El dispositivo sale de la caducidad agresiva de la sesión y vuelve a la normalidad cuando el número de sesiones en la tabla de sesiones desciende por debajo del low-watermark umbral.

  • early-ageout –Durante el envejecimiento agresivo de la sesión, las sesiones con un tiempo de espera inferior al early-ageout umbral se marcan como no válidas.

En dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, la SPU comprueba la tabla de sesiones, localiza las sesiones para las que el valor de tiempo de espera es inferior al valor de tiempo de espera temprano y, a continuación, las marca como no válidas. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación).

Ejemplo: control de la terminación de sesión para firewalls de la serie SRX

En este ejemplo se muestra cómo terminar las sesiones de los firewalls de la serie SRX en función de la caducidad después de un cierto período de tiempo, o cuando el número de sesiones de la tabla de sesiones está lleno o alcanza un porcentaje especificado. Especifique un valor de tiempo de espera o el número de sesiones de la tabla de sesiones.

Requisitos

Antes de comenzar, comprenda las circunstancias para terminar las sesiones.

Visión general

Puede controlar la finalización de la sesión en determinadas situaciones, por ejemplo, después de recibir un cierre de TCP FIN o recibir un mensaje RST, cuando se encuentran errores ICMP para UDP y cuando no se recibe tráfico coincidente antes de que se agote el tiempo de espera del servicio. Cuando se terminan las sesiones, sus recursos se liberan para que los utilicen otras sesiones.

En este ejemplo, configure las circunstancias siguientes para finalizar la sesión:

  • Un valor de tiempo de espera de 20 segundos.

    Nota:

    El valor mínimo que puede configurar para la inicialización de la sesión TCP es de 4 segundos. El valor predeterminado es 20 segundos; si es necesario, puede establecer el valor de inicialización de sesión TCP en menos de 20 segundos.

  • Un valor de tiempo de espera explícito de 280 segundos, que cambia el tiempo de espera de la sesión TCP durante el protocolo de enlace de tres vías.

    El comando establece el tiempo de espera inicial de la sesión TCP en 280 en la tabla de sesión durante el protocolo de enlace TCP de tres vías. El temporizador se inicia cuando se recibe el primer paquete SYN y se restablece con cada paquete durante el protocolo de enlace de tres vías. Una vez completado el protocolo de enlace de tres vías, el tiempo de espera de la sesión se restablece al tiempo de espera definido por la aplicación específica. Si el temporizador caduca antes de que se complete el protocolo de enlace tridireccional, la sesión se elimina de la tabla de sesiones.

  • Cualquier sesión que reciba un mensaje TCP RST (restablecimiento) se invalida.

Configuración

Procedimiento

Procedimiento paso a paso

Para controlar la finalización de la sesión de los firewalls de la serie SRX:

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de laGuía del usuario de CLI.

Para controlar la finalización de la sesión de los firewalls de la serie SRX:

  1. Especifique un valor de antigüedad para la sesión.

  2. Configure un valor de caducidad.

  3. Invalide cualquier sesión que reciba un mensaje TCP RST.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security flow comando.

Sesiones de compensación para puertas de enlace de servicios de la serie SRX

Puede usar el clear comando para terminar sesiones. Puede borrar todas las sesiones, incluidas las sesiones de un tipo de aplicación determinado, las sesiones que utilizan un puerto de destino específico, las sesiones que utilizan una interfaz o puerto específicos, las sesiones que utilizan un protocolo IP determinado, las sesiones que coinciden con un prefijo de origen y las sesiones del administrador de recursos.

Finalización de sesiones para puertas de enlace de servicios de la serie SRX

Puede usar el siguiente comando para terminar todas las sesiones, excepto las sesiones de túnel y administrador de recursos. El resultado del comando muestra el número de sesiones borradas. Tenga en cuenta que este comando finaliza la sesión de administración a través de la cual se emite el comando clear.

Finalización de una sesión específica para puertas de enlace de servicios de la serie SRX

Puede usar el siguiente comando para finalizar la sesión cuyo ID de sesión especifique.

Uso de filtros para especificar las sesiones que se van a finalizar para las puertas de enlace de servicios de la serie SRX

Puede finalizar una o varias sesiones en función del parámetro filter que especifique para el clear comando. En el ejemplo siguiente se utiliza el protocolo como filtro.

Configuración del valor de tiempo de espera para sesiones de flujo de multidifusión

Puede configurar el valor de tiempo de espera para las sesiones de flujo de multidifusión configurando una aplicación personalizada y asociando la aplicación a una directiva.

Las sesiones de flujo de multidifusión tienen una sesión de plantilla y una o más sesiones de hoja. Dado que estas sesiones están vinculadas entre sí, solo pueden tener un valor de tiempo de espera. El valor de tiempo de espera para las sesiones de flujo de multidifusión se determina teniendo en cuenta los valores de tiempo de espera configurados en las directivas de sesión de hoja y los valores de tiempo de espera del protocolo IP. El más alto de estos valores de tiempo de espera se selecciona como el tiempo de espera de la sesión de flujo de multidifusión.

Si no se configura ningún valor de tiempo de espera de sesión de hoja, el valor de tiempo de espera del protocolo IP se utiliza automáticamente como valor de tiempo de espera para la sesión de flujo de multidifusión. El tiempo de espera del protocolo IP es el predeterminado y no se puede configurar.

La configuración de los tiempos de espera de la sesión de hoja puede ser especialmente útil para las secuencias de multidifusión que tienen un intervalo de paquetes más largo que el tiempo de espera predeterminado del protocolo IP. Por ejemplo, las secuencias de multidifusión con un intervalo de paquetes de más de 60 segundos experimentarían una caducidad prematura de las sesiones de flujo y caídas de paquetes con el valor de tiempo de espera UDP, que siempre es de 60 segundos. Para estas secuencias, puede configurar un valor de tiempo de espera de sesión leaf más alto y evitar la caída de paquetes.

Para establecer el valor del tiempo de espera de sesión de hoja, configure una aplicación personalizada y asocie la aplicación a una directiva:

  1. Cree una aplicación personalizada, especifique sus propiedades y especifique omitir el tipo de aplicación.
  2. Establezca el valor de tiempo de espera para el protocolo de aplicación.
  3. Cree una política.
  4. Asocie la aplicación personalizada (con el tiempo de espera configurado) a la directiva.
  5. Si ha terminado de configurar el dispositivo, confirme la configuración.
  6. Para comprobar el valor actualizado del tiempo de espera de la sesión, escriba el show security flow session comando.

    En este resultado, la sección ID de sesión 2363 muestra una sesión de plantilla. Un valor de tiempo de espera de 498 indica que el valor de tiempo de espera de la sesión de plantilla está marcando hacia abajo desde el valor configurado de 500 segundos.

    La sección ID de sesión 2364 muestra una sesión de hoja. El valor de tiempo de espera de -1 indica esencialmente que la sesión no caducará a menos que la sesión de plantilla expire.

    En este ejemplo, el valor de tiempo de espera de sesión de hoja configurado de 500 segundos es el valor de tiempo de espera más alto y se acepta como el valor de tiempo de espera de sesión de plantilla para la sesión de flujo de multidifusión.

Documentación relacionada