전역적으로 변경하지 않고 애플리케이션의 세션 시간 초과를 재정의하는 방법
7329
Created On 01/02/23 23:46 PM - Last Modified 01/07/25 13:25 PM
Objective
- 이 문서에서는 전역 디폴트 을 오버리드(override) 하지 않고도 애플리케이션 의 세션 타임아웃 오버리드(override) 방법을 설명합니다.
- 세션 타임아웃 초과 재정의는 수정된 타임아웃 값이 있는 서비스 개체를 포함하는 보안 규칙 매칭 애플리케이션 의 트래픽을 기반으로 합니다.
- TCP 의 경우 세션 타임아웃 값을 재정의하는 것 외에도 필요에 따라 세션 의 반 닫힘 및 대기 시간을 오버리드(override) 할 수도 있습니다.
Environment
- TCP 또는 UDP 세션을 사용하는 애플리케이션에 적용
- PAN-OS 8.1 이상
- 모든 플랫폼
Procedure
Steps
1. Go to 사물 > 서비스
2. Click 추가하다 and name the service
3. Select the Protocol and 추가하다 목적지 항구 (and Source Port if necessary)
4. Modify TCP or UDP Timeout values
a. For TCP you can also modify TCP Half Closed and TCP Time Wait as needed. Example
참고: TCP Timeout, Half Closed 및 Time Wait의 기본값은 각각 3600, 120 및 15초입니다.
b. For UDP you can modify only timeout value as shown in example
참고: UDP Timeout의 기본값은 60초입니다.
5. Add 서비스 객체 to 보안 정책
6. 저지르다 the changes
Note: To configure the above from cli you can run the following commands
To create and override TCP service object:
set service <service object name> protocol tcp override yes timeout <timeout value> set service <service object name> protocol tcp override yes halfclose-timeout <timeout value> set service <service object name> protocol tcp override yes timewait-timeout <timeout value> set service <service object name> protocol tcp port <port number>
To create and override UDP service object:
set service <service object name> protocol udp override yes timeout <timeout value> set service <service object name> protocol udp port <port number>
To add the service object to the security policy:
set rulebase security rules <security policy name> service <service object name>