Cómo anular el tiempo de espera de la sesión de una aplicación sin cambiarlo globalmente

Cómo anular el tiempo de espera de la sesión de una aplicación sin cambiarlo globalmente

7331
Created On 01/02/23 23:46 PM - Last Modified 01/07/25 13:20 PM


Objective


  • Este documento describe cómo cancelar el tiempo de espera de la sesión para una aplicación sin tener que cancelar el valor valor predeterminado global.
  • La anulación del tiempo de espera de la sesión se basa en el tráfico de la aplicación que coincidente con una regla de seguridad que contiene un objeto de servicio con valores de tiempo de espera modificados.
  • Para TCP , además de anular el valor de tiempo de espera de la sesión, también puede cancelar el tiempo de medio cierre y de espera de la sesión según sea necesario.

Environment


  • Se aplica a aplicaciones que utilizan sesiones TCP o UDP
  • PAN-OS 8.1 y superior
  • Todas las plataformas

Procedure


Steps
1. Go to Objetos > Servicios
2. Click Agregar and name the service
3. Select the Protocol and agregar Puerto de destino (and Source Port if necessary)
4. Modify TCP or UDP Timeout values
a. For TCP you can also modify TCP Half Closed and TCP Time Wait as needed. Example
service-object.PNG
Nota: Los valores predeterminados para Tiempo de espera de TCP , Medio cerrado y Tiempo de espera son 3600, 120 y 15 segundos respectivamente

b. For UDP you can modify only timeout value as shown in example
udp.PNG
Nota: El valor predeterminado para el tiempo de espera de UDP es 60 segundos

5. Add Objeto de servicio to Política de seguridad
sec-policy-ssh.PNG

6. Comprometerse the changes

Note: To configure the above from cli you can run the following commands
To create and override TCP service object: 
set service <service object name> protocol tcp override yes timeout <timeout value>
set service <service object name> protocol tcp override yes halfclose-timeout <timeout value>
set service <service object name> protocol tcp override yes timewait-timeout <timeout value>
set service <service object name> protocol tcp port <port number>

To create and override UDP service object: 
set service <service object name> protocol udp override yes timeout <timeout value>
set service <service object name> protocol udp port <port number>

To add the service object to the security policy: 
set rulebase security rules <security policy name> service <service object name>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saHuCAI&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language