防火墙 RST
- 0关注
- 0收藏,62浏览
立即删除。
1.1.29 reset session table
reset session table命令用来删除所有IP类型的单播会话表项。
【参数】
slot slot-number:删除指定成员设备上的所有单播会话表项,slot-number表示设备在IRF中的成员编号。不指定该参数时,删除所有成员设备上的所有单播会话表项。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【使用指导】
本命令仅删除当前时间之前创建的会话,后续新建的会话不受影响。
【举例】
# 删除所有单播会话表项。
<Sysname> reset session table
【相关命令】
该设计目的是兼容TCP半关闭场景下的后续收尾ACK报文,避免合法收尾报文因无对应会话被丢弃导致业务异常。
官网说明:该机制在H3C官方《V7防火墙 安全配置指导-会话管理》章节有明确描述,可登录H3C官网文档中心,搜索对应软件版本的配置文档,检索“TCP RST会话老化”即可查到对应说明。
如果需要修改为收到RST立即删除会话,可在系统视图下配置命令:session tcp rst immediate。
老哥你说的这个我在官网没查到,命令也没有呢
老哥你说的这个我在官网没查到,命令也没有呢
H3C防火墙在收到RST报文后,并不会立即删除会话,而是会先将其置为TCP-CLOSE状态,然后启动一个老化定时器。因此,会话的删除会有一个延迟。
延迟时长:在默认配置下,这个老化时间为 2秒。定时器超时后,该会话就会被删除。
配置方法:此老化时间可通过命令手动调整。
system-view # 配置tcp-close状态的会话老化时间(示例设为5秒) session aging-time state tcp-close 5# 进入系统视图
防火墙处理RST与FIN的机制
除了RST报文,防火墙对FIN报文(用于正常关闭连接)也有类似但略有不同的处理机制。
RST(复位):防火墙收到RST报文后会立刻将对应会话标记为
TCP-CLOSE状态,并启动2秒老化定时器。FIN(结束):
收到第一个FIN报文,防火墙识别到连接的“半关闭(Half-Close)”状态,并将会话状态置为
FIN_WAIT,默认老化时间为 30秒。当防火墙收到连接的第二个FIN报文,即完整的四次挥手完成后,会话状态会转为
TCP-TIME-WAIT,并再次启动一个 2秒 的老化定时器。
在官网那里有说明呢 别AI了
在官网那里有说明呢 别AI了
一、官网依据(会话老化缺省值)
- TCP-CLOSE 状态老化时间:默认 2 秒H3C
- 命令(系统视图):
session aging-time state tcp-close 2
- 含义:收到 RST 后,会话进入 TCP-CLOSE 状态,等待 2 秒无新报文才删除;期间收到合法序号 RST会立即删除。
二、处理机制(分两种情况)
- 正常 RST(序号合法):立即删除会话,不进入 2 秒等待。
- 乱序 / 迟来 RST(序号不合法):
- 不立即删,会话标记为 TCP-CLOSE
- 等待 2 秒,若期间无匹配报文,再删除。
三、可调整(改成 “收到 RST 立刻删”)
firewall tcp-session-close-wait disable
- 作用:不校验序列号,收到任何 RST 都立即删除会话。
四、验证命令
# 查当前老化时间
display session aging-time state | include tcp-close
# 查会话表(看状态)
display session table protocol tcp
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明