この記事にアクセスした方はおそらく、今まさにセッションタイムアウトの問題を抱えているか、過去に問題の直面し、苦労した経験をお持ちではないだろうか。
もしかするとセッションタイムアウト値をFW側でカスタマイズできることに気付かずに、諦めた経験もあるかもしれない。
だからこそ、サービスのセッションタイムアウト値を柔軟にコントロールするスキルは、ネットワーク管理者にとって必須のスキルの一つともいえるだろう。
設定箇所
[Objects] → [サービス] → [追加] の順にクリックするとこの画面が現れる。
設定は単純で、サービス名とプロトコル、宛先ポートを設定するだけだ。
通常だとこれだけで十分で、それ以外の設定をカスタマイズする必要性はないが、セッションタイムアウトの問題を抱えている場合にはカスタマイズが必要になる。
オーバーライドにチェックボックスを入れる。
そうするとこのような画面になる。
設定値
設定箇所は大きく3つある
- TCPタイムアウト
- TCP Half Closed(秒)
- TCP Time Wait(秒)
それぞれの詳細は、ここで説明するにはあまりにも長くなるので以下を参考にしてほしい。
トラブルシューティング
通常、サービスセッションタイムアウトが自社のアプリケーションの動作に影響を及ぼしている場合、TCPタイムアウトの秒数が短いケースが多い。
稀に、あまりにも長すぎることに起因して特殊な攻撃が成立してしまうこともあるので、無制限に長くするのはセキュリティ上のリスクがあるのでおススメできない。
ここの秒数はアプリケーションの仕様上必要となり得る適切な値を設定するようにしよう。
そしてこの適切な値は何なのかという問題については、ネットワーク管理者では判断不可能だ。
だからアプリケーションの管理者へ確認を取る必要性がある。
確認を取るときっと、アプリケーション管理者も何秒が適切かわからないと、回答が返ってくるだろう。
そう返ってきたときには、実際にテストをしてみることを提案してみよう。
例えば60秒(1分)でセッション終了してしまうことが問題になっているとする。
アプリケーション管理者は、トラブルシューティングの中で、何秒で問題が発生しているかは既につかんでいるはずだ。
であれば、それをまず300秒(5分)に変更した上で、またテストをする、
それで問題があるならばまた変更すればよい。
このようにしてトラブルシューティングをしていく。
上級のネットワーク管理者であればこのようなトラブルシューティングを求められるシーンが度々でてくるだろう。
実務で役立つスキルだ。覚えておこう。
ネットワークアドミニストレータ必携 オススメ最新コンソールケーブル
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント