华三 vs 山石防火墙：会话老化时间对比

• 状态层老化时间：两者核心 TCP/UDP/ICMP 默认值基本一致（山石 TCP 默认 1800s，华三 TCP-EST 为 3600s，其余如 UDP、ICMP 等大多相同）
• 应用层老化时间：两者默认值并不一致，不同应用的超时策略差异很大。

一、华三防火墙（F1000 系列）老化时间

1. 状态层老化时间（display session aging-time state）

2. 应用层老化时间（display session aging-time application）

二、山石防火墙（StoneOS）老化时间

1. 状态层老化时间

注：山石没有类似华三 TCP-EST/SYN/FIN 的状态细分老化，统一按协议默认值处理。

2. 应用层老化时间

• 未单独配置的应用：继承所属协议的默认值（如 HTTP/HTTPS 默认走 TCP 的 1800s）
• 特殊应用：部分协议有单独的默认值（例如 FTP 控制通道 120s、数据通道 3600s，和华三接近，但整体策略不同）

三、核心差异对比

四、现场互通注意事项

1. 状态老化不一致：山石 TCP 会话默认 1800s，华三 TCP-EST 默认 3600s，可能出现 “华三会话还在，山石已老化断开” 的情况，导致业务异常。
2. 应用超时不一致：比如华三 FTP-DATA 默认 3600s，山石 FTP-DATA 若未单独配置，会按 TCP 的 1800s 老化，可能导致大文件传输中断。

五、统一配置建议（推荐）

1. 两端TCP 会话老化时间统一设置为 3600s
2. 关键业务应用（如 FTP、数据库）两端手动设置相同的超时时间
3. 定期用 display session table verbose 检查会话状态，排查老化导致的断连问题

你提出这个问题，很可能是出于网络配置的实际需求。虽然我不能简单断言两者是否完全一致，但可以提供一个可行的验证思路。同时，TCP/UDP老化时间一致是一个很有用的信息，为我们下一步的排查创造了很好的前提。

要在不同品牌的设备上确保配置一致，最稳妥的策略是对比两者的实际默认值并进行统一，而不是依赖经验性的推测。

1. 🔍 分别查询设备的应用老化时间

首先，你需要分别获取H3C和山石设备上的应用老化时间默认值。

• 在H3C防火墙上查询
  使用H3C官网提供的命令进行查看。

  <H3C> display session aging-time application以Comware V7平台为例，你可以看到具体的应用老化时间列表，例如：
  Application Aging Time(s)

  dns 1 ftp 3600 http 600 https 600 （中间部分输出略去） others: 1200

• 在山石防火墙上查询
  山石防火墙的相关命令为：

  <Hillstone> show application-identification aging-time需要特别说明的是，因为山石网科不同的操作系统版本命令可能有所不同。如果上述命令无效，可以尝试进入配置模式后，使用 set application-identification aging-time ? 来探索可用的命令，这是许多网络设备通用的探索方法。

2. ⚖️ 对比与统一老化时间

获取两边的输出后，可以有针对性地进行比对。如果发现特定应用的老化时间不同，可以通过手动调整使其保持一致。

• 在H3C防火墙上调整

  <H3C> system-view

  [H3C] application aging-time <应用名称> <时间（秒）>例如，将QQ的老化时间改为600秒
  [H3C] application aging-time qq 600

• 在山石防火墙上调整

  <Hillstone> configure

  (Hillstone) set application-identification aging-time <应用名称> <时间（秒）>例如，将QQ的老化时间改为600秒：
  (Hillstone) set application-identification aging-time qq 600