So überschreiben Sie das Sitzungstimeout für eine Anwendung, ohne es global zu ändern

So überschreiben Sie das Sitzungstimeout für eine Anwendung, ohne es global zu ändern

7331
Created On 01/02/23 23:46 PM - Last Modified 01/07/25 13:19 PM


Objective


  • In diesem Dokument wird beschrieben, wie das Timeout für eine Anwendung außer Kraft setzen/Außerkraftsetzung , ohne den globalen Standard(-) außer Kraft setzen/Außerkraftsetzung zu müssen.
  • Das Überschreiben des Sitzung basiert auf dem Datenverkehr für die Anwendung, der einer Regel Übereinstimmung , die ein Serviceobjekt mit geänderten Timeout -Werten enthält
  • Bei TCP können Sie neben dem Sitzung Timeout Wert auch die halbgeschlossene und die Wartezeit der Sitzung nach Bedarf außer Kraft setzen/Außerkraftsetzung .

Environment


  • Gilt für Anwendungen, die TCP oder UDP Sitzungen verwenden
  • PAN-OS 8.1 und höher
  • Alle Plattformen

Procedure


Steps
1. Go to Objekte > Dienstleistungen
2. Click Hinzufügen and name the service
3. Select the Protocol and hinzufügen Zielport (and Source Port if necessary)
4. Modify TCP or UDP Timeout values
a. For TCP you can also modify TCP Half Closed and TCP Time Wait as needed. Example
service-object.PNG
Hinweis: Die Standardwerte für TCP -Timeout, Half Closed und Time Wait betragen 3600, 120 bzw. 15 Sekunden.

b. For UDP you can modify only timeout value as shown in example
udp.PNG
Hinweis: Der Standardwert für das UDP Timeout beträgt 60 Sekunden

5. Add Serviceobjekt to Sicherheitsrichtlinie
sec-policy-ssh.PNG

6. Begehen the changes

Note: To configure the above from cli you can run the following commands
To create and override TCP service object: 
set service <service object name> protocol tcp override yes timeout <timeout value>
set service <service object name> protocol tcp override yes halfclose-timeout <timeout value>
set service <service object name> protocol tcp override yes timewait-timeout <timeout value>
set service <service object name> protocol tcp port <port number>

To create and override UDP service object: 
set service <service object name> protocol udp override yes timeout <timeout value>
set service <service object name> protocol udp port <port number>

To add the service object to the security policy: 
set rulebase security rules <security policy name> service <service object name>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saHuCAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language