サーバーレスポンス検査の無効化
Paloaltoのポリシーに設定できるオプション設定に
「サーバーレスポンス検査の無効化」という設定値がある。
この機能を有効に使う方法を紹介する。
サーバーレスポンス検査とは
サーバーレスポンス検査とは一体何かというと、文字通りではあるが
通信の中身をチェックし、問題の有無を確認する、ということだ。
問題の有無というは、例えばウイルス混入や実行形式の拡張子が含まれている
エクスプロイトコードが含まれている、などの問題があるかどうかということだ。
こういったものをチェックする機構がPaloaltoファイアウォールには標準で備わっている。
サーバーレスポンス検査を無効化するとどうなるのか
文字通り、検査をしなくなるということだ。
Paloaltoファイアウォールではデフォルトですべての通信を検査する。
この設定ではその中でも、サーバーからのレスポンス
つまり応答パケットは検査をしないというチューニングができるのだ。
サーバーレスポンス検査を無効化すると何がうれしいのか
通常、セキュリティ面を考慮すれば検査した方が良いに決まっている。
検査しないより検査した方がいいのだが、全て検査することにより
スループットが非常に悪くなってしまう属性のプロトコルがある。
その代表格が、SMBとFTPだ。
いわゆるファイル転送を目的としたプロトコルにおいては
クライアントーサーバ間の通信のやり取り・往復がかなり大量に発生する。
Paloaltoファイアウォールではこのすべてのトラフィックをデフォルトで検査する。
よって、データ量が多ければ多いほど、全ての中身を検査する処理が走り転送効率が落ちてしまうのだ。
そういったプロトコルに限っては、サーバーレスポンス検査は無効化する判断をする方がいい。
注意点
無効化にあたっては注意点が一つある。
それは信頼できる通信先に対してのみ無効化するという点だ。
世の中にある全てのSMB・FTPを利用するファイルサーバが信頼できるわけではないし、不正なプログラムが混入されていないとも限らない。
特にインターネット上に公開されているサーバは、攻撃の被害を受けている可能性もあり、検査を無効化するのはオススメしない。
無効化することで悪意のある通信をそのまま通してしまう可能性があるからだ。
この注意点だけ留意すれば、それ以外においては検査を無効化することで転送効率があがる。
是非試してみてほしい
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント