Comment contourner le délai d'expiration de session pour une application sans le modifier globalement

Comment contourner le délai d'expiration de session pour une application sans le modifier globalement

7337
Created On 01/02/23 23:46 PM - Last Modified 01/07/25 13:18 PM


Objective


  • Ce document décrit comment remplacer le délai d'expiration de session pour une application sans avoir à remplacer la valeur par défaut globale
  • Le dépassement du délai d'expiration de la session est basé sur le trafic de l' application correspondance à une règle de sécurité contenant un objet de service avec des valeurs de délai d'expiration modifiées
  • Pour TCP , en plus de remplacer la valeur du délai d'expiration de la session, vous pouvez également remplacer le temps de fermeture et le temps d'attente de la session selon vos besoins.

Environment


  • S'applique aux applications utilisant des sessions TCP ou UDP
  • PAN-OS 8.1 et versions ultérieures
  • Toutes les plateformes

Procedure


Steps
1. Go to Objets > Services
2. Click Ajouter and name the service
3. Select the Protocol and ajouter Port de destination (and Source Port if necessary)
4. Modify TCP or UDP Timeout values
a. For TCP you can also modify TCP Half Closed and TCP Time Wait as needed. Example
service-object.PNG
Remarque : les valeurs par défaut pour le délai d'expiration TCP , la fermeture à moitié et le temps d'attente sont respectivement de 3 600, 120 et 15 secondes.

b. For UDP you can modify only timeout value as shown in example
udp.PNG
Remarque : la valeur par défaut du délai d'expiration UDP est de 60 secondes.

5. Add Objet de service to Politique de sécurité
sec-policy-ssh.PNG

6. Commettre the changes

Note: To configure the above from cli you can run the following commands
To create and override TCP service object: 
set service <service object name> protocol tcp override yes timeout <timeout value>
set service <service object name> protocol tcp override yes halfclose-timeout <timeout value>
set service <service object name> protocol tcp override yes timewait-timeout <timeout value>
set service <service object name> protocol tcp port <port number>

To create and override UDP service object: 
set service <service object name> protocol udp override yes timeout <timeout value>
set service <service object name> protocol udp port <port number>

To add the service object to the security policy: 
set rulebase security rules <security policy name> service <service object name>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saHuCAI&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language