网络工程 - 瞻博网络 SRX 降低最大会话数 - 吾爱随笔录

瞻博网络 SRX 降低最大会话数

网络工程杜松杜松-朱诺斯杜松-srx

2022-02-07 11:13:04

在我的 SRX 1400 上，我在这里看到了最大会话数：

show security flow session summary

这就是现在出现的情况：

Unicast-sessions: 46795
Multicast-sessions: 0
Services-offload-sessions: 0
Failed-sessions: 931259
Sessions-in-use: 51465
  Valid sessions: 46337
  Pending sessions: 0
  Invalidated sessions: 128
  Sessions in other states: 0
Maximum-sessions: 1048576

我的 SRX 可以很好地处理这个数量的会话，但我的网络的其余部分不能。

如何减少最大会话值？

2个回答

您不能直接减少最大会话值，但可以使用屏幕选项来限制每个源或目标 IP 的最大并发会话数。在您的情况下，我希望有一个基于目的地的限制（请参阅瞻博网络文档）。

例如：

security {
 screen {
  ids-option max-1000-sessions-per-host {
   limit-session {
    destination-ip-based 1000;
   }
  }
 }
 zones {
  security-zone untrust {
   screen max-1000-sessions-per-host;
  }
 }
}

但是，您的网络受到它可以处理的会话数量的限制，这听起来很奇怪。这通常只与防火墙和负载均衡器等有状态设备相关，它们完全能够自行丢弃超过流量。如果是带宽问题，那么可能有比会话限制更好的旋钮。

您不能将会话数限制为策略 - 无法从“坏”会话中确定“好”会话。

根据服务（假设是 Web 服务器），您可以简单地限制它将在服务器上接受的连接数 - 这可以在 Apache、NGINX、IIS 等中完成 - 您甚至应该能够应用限制基于源是在防火墙内部还是外部。

另一种选择可能是将速率限制应用于 SRX 上的特定策略 - 这样，如果它是吸引最多流量的特定服务，您可以对其提供的带宽量设置硬限制。

这可以通过客户端到服务器或服务器到客户端来完成。

为此，请设置应用程序流量控制配置文件，然后在允许后在您的策略中引用它，例如：

set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 match source-address any
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 match destination-address SERVER1
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 match application junos-http
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 match application junos-https
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 then permit application-services application-traffic-control rule-set INTERNET-LIMITS
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 then log session-init
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 then log session-close
set security policies from-zone INTERNET to-zone DMZ policy PERMIT-SERVER1 then count

set class-of-service application-traffic-control rate-limiters 10M bandwidth-limit 10485760
set class-of-service application-traffic-control rate-limiters 10M burst-size-limit 524288
set class-of-service application-traffic-control rule-sets INTERNET-LIMITS rule WEB-10M match application junos-http
set class-of-service application-traffic-control rule-sets INTERNET-LIMITS rule WEB-10M match application junos-https
set class-of-service application-traffic-control rule-sets INTERNET-LIMITS rule WEB-10M then rate-limit server-to-client 10M

这会将从 SERVER1 到客户端的所有流量限制为 10M，这不会限制会话，而是减慢它们的速度，以免它们使用您的所有上游带宽。

其它你可能感兴趣的问题

上一篇Cisco 3750 VLANS 未连接到互联网下一篇HP 1810-8G (J9802A) 和 HP PS1810-8G (J9833A) 的区别