グローバルに変更せずにアプリケーションのセッション タイムアウトをオーバーライドする方法
7335
Created On 01/02/23 23:46 PM - Last Modified 01/07/25 13:22 PM
Objective
- このドキュメントでは、グローバルデフォルト値をオーバーライドせずにアプリケーションのセッションタイムアウトをオーバーライド方法について説明します。
- セッションタイムアウトのオーバーライドは、変更されたタイムアウト値を持つサービスオブジェクトを含むセキュリティルールに一致アプリケーションのトラフィックに基づいて行われます。
- TCPの場合、セッションタイムアウト値を上書きするだけでなく、必要に応じてセッションのHalf ClosedとWait Timeもオーバーライドできます。
Environment
- TCPまたはUDPセッションを使用するアプリケーションに適用されます
- PAN-OS 8.1 以上
- すべてのプラットフォーム
Procedure
Steps
1. Go to オブジェクト > サービス
2. Click 追加 and name the service
3. Select the Protocol and 追加 宛先ポート (and Source Port if necessary)
4. Modify TCP or UDP Timeout values
a. For TCP you can also modify TCP Half Closed and TCP Time Wait as needed. Example
注: TCPタイムアウト、ハーフクローズ、時間待機のデフォルト値はそれぞれ 3600、120、15 秒です。
b. For UDP you can modify only timeout value as shown in example
注: UDPタイムアウトのデフォルト値は60秒です
5. Add サービスオブジェクト to セキュリティポリシー
6. 専念 the changes
Note: To configure the above from cli you can run the following commands
To create and override TCP service object:
set service <service object name> protocol tcp override yes timeout <timeout value> set service <service object name> protocol tcp override yes halfclose-timeout <timeout value> set service <service object name> protocol tcp override yes timewait-timeout <timeout value> set service <service object name> protocol tcp port <port number>
To create and override UDP service object:
set service <service object name> protocol udp override yes timeout <timeout value> set service <service object name> protocol udp port <port number>
To add the service object to the security policy:
set rulebase security rules <security policy name> service <service object name>