fin-invalidate-session

구문

계층 수준

설명

4방향 또는 3방향 핸드셰이크가 완료된 후 각 세션 엔드포인트가 독립적으로 세션의 종료 신호를 보내 TCP 세션을 무효화합니다. 새로 들어오는 SYN 패킷은 새 TCP 세션을 설정해야 합니다.

두 세션 엔드포인트 중 하나가 세션을 종료하려고 하면 FIN(ish) 메시지를 보냅니다. 다른 세션 엔드포인트가 FIN 플래그가 설정된 패킷을 수신하면 ACK(nowlege) 메시지를 보냅니다. 일반적으로 세션을 삭제하려면 각 세션 엔드포인트에서 한 쌍의 FIN-ACK 메시지를 전송해야 합니다.

첫 번째 FIN을 보낸 측이 최종 ACK로 응답한 후 연결을 닫기 전에 제한 시간이 만료될 때까지 기다립니다. 제한 시간 동안에는 로컬 포트를 새 연결에 사용할 수 없습니다. 시간 제한 기간은 후속 연결 중에 전달되는 종료 세션의 지연된 패킷으로부터 보호합니다.

참고:

구성된 SRX 시리즈 방화벽 fin-invalidate-session 에서는 세션이 즉시 무효화되는 반면, 구성되지 않은 경우 fin-invalidate-session 세션은 4방향 또는 3방향 핸드셰이크가 완료된 후 2초 후에 시간 초과되도록 설정됩니다.

표 1 은 세션을 종료하기 위한 4방향 핸드셰이크에 대한 패킷 시퀀스를 보여줍니다. 이 경우 클라이언트는 서버에 세션을 종료한다는 신호를 보냅니다. 서버는 클라이언트의 FIN 메시지를 승인하는 ACK 메시지로 응답합니다. ACK 바로 다음에는 서버가 클라이언트로 보내는 FIN 메시지가 오며, 이 메시지는 서버가 세션 연결을 종료한다는 신호입니다. 마지막으로 클라이언트는 서버의 FIN 메시지를 수신했음을 알리는 ACK 메시지를 서버에 보냅니다.

표 1: 4방향 핸드셰이크로 세션 종료

단계	클라이언트	서버
1.	지 느 러 미
2.		Ack
3.		지 느 러 미 세션 타이머를 150초로 설정합니다.
4.	Ack 세션 타이머를 2초로 설정합니다.

세션은 3방향 핸드셰이크로 종료될 수 있습니다. 이 경우 클라이언트는 서버에 FIN 메시지를 보냅니다. 서버는 FIN 메시지와 ACK 메시지를 결합한 메시지로 응답합니다. 3방향 핸드셰이크 세션 닫기를 위한 패킷 교환 순서는 다음과 같습니다.

단계	클라이언트	서버
1.	지 느 러 미
2.		지느러미/ACK 세션 타이머를 150초로 설정합니다.
3.	Ack 세션 타이머를 2초로 설정합니다.

필요한 권한 수준

security - 구성에서 이를 볼 수 있습니다.

security-control - 구성에 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 10.4 R13에 소개된 명령문.