セッションスタートとは
セッションとはTCP/IPの世界では重要なキーワードだ。
通信には必ず行きと帰りの二つ存在している。
それをセッションということばで言い表すと
セッションスタートは行き、セッションエンドが戻りとなる。
厳密には単純に行って帰ってきているわけではなく
TCP3ウェイハンドシェイクという言葉があるように、何往復かのやり取りが発生する。
そのすべてが上手くいって、ようやくセッションエンドとなる。
途中の一つでもコケればセッションエンドとはならない。
デフォルトでは、セッションエンドしかログ出力されない
PAシリーズのデフォルトでは、セッションエンドのログしか記録されない。
通信が上手くいくのであればこれで十分だ。
しかし通信が上手くいかない場合、つまりTCP3ウェイハンドシェイクのどこかで通信が上手くいっていない場合は、セッションエンドログは出力されないため、問題の切り分けが難しい。
そういう時は、セッションスタートログを取るように変更してみるといい。
この方法であれば、どこで通信が上手くいっていないか切り分ける時に大いに役に立つ。
設定方法
ポリシーのオプション設定を開く。
すると、「セッション開始時にログ」という設定値にはチェックボックスが入っていないことがわかる。
ここにチェックをいれてOKをクリックする。
そうすることで、そのポリシーにHITした通信のセッションスタートログを出力させることができる。
もしオプション設定が絡むに存在していない場合は、ポリシーの表示設定がおかしくないか確認してみよう。
ログは「Monitor」の「ログ」→「トラフィック」から閲覧可能だ。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント