V5平台防火墙会话表老化时间应如何调整？

V5平台防火墙会话表老化时间应如何调整？

以TCP协议会话为例，V5平台防火墙默认配置SYN_SENT和SYN_RCV状态为30秒、FIN_WAIT状态为30秒、ESTABLISHED状态为3600秒。

在防火墙实际运维部署过程中，如果将会话表各状态老化时间调节得比默认值更短，则防火墙上没有实际业务报文交互的会话表项可以在更短的时间内由于计时器超时而清除，达到减少防火墙并发连接数的目的；但如果将会话表项老化时间调整过短，容易出现上层应用的数据报文交互还没有完成，防火墙上会话表项却因为计时器超时而老化，后续的数据报文由于没有会话而被防火墙丢弃。反之如果将会话表项老化时间调整得更长，那么当某条会话表项不再交互报文，或由于上层应用出现异常不能正常关闭时，这条表项就需要等待更长的时间才能因计时器超时而清除。

综上，在通常情况下不建议修改默认的防火墙会话表老化时间参数。如果防火墙在运行过程中并发连接数长时间持续较高，可以适当调低各协议各状态的老化时间，以降低并发连接数。