この記事にアクセスした方はおそらく、今まさにセッションタイムアウトの問題を抱えているか、過去に問題の直面し、苦労した経験をお持ちではないだろうか。
もしかするとセッションタイムアウト値をFW側でカスタマイズできることに気付かずに、諦めた経験もあるかもしれない。
その場合にはこの記事を参考にしてほしい。
この記事では、タイムウェイト-タイムアウト(timewait-timeout ) について解説する。
タイムウェイト-タイムアウト(timewait-timeout ) とは
TCP/IPの世界は、3ウェイハンドシェイクで成立している。
その3ウェイハンドシェイクは、Webサービスを提供しているサーバとクライアントPC(ブラウザ)の間で交わされるプロトコルだ。
3ウェイハンドシェイクのステップはシンプルだ
①クライアントがサーバへリクエストを投げる(Syn)
②サーバがクライアントへ応答を返す(Syn,Ack)
③クライアントがサーバへAckを返す
このハンドシェイクが完了し、クローズ(CLOSED)できる状態になったセッションはタイムアウトをもって終了される。
このクローズ(CLOSED)になるまでの待ち時間がタイムウェイト(timewait)だ。
このタイムウェイトの秒数をタイムウェイト-タイムアウト値としてカスタマイズすることができる。
Paloaltoファイアウォールはこれほどまで詳細なレベルまでサービス単位に設定を変更することができる、まさにハイクラスのファイアウォールといえるだろう。
なぜすぐにクローズしないのか
端的に言うと、インターネットは遅延が起きることが大前提の世界だからだ。
何らかの理由で遅延が起き、一部の通信の到着が遅れたとしよう。
その場合でも、 タイムウェイト-タイムアウトまでであれば通信を受け付けてもらえるというわけだ。
よく考えられている。
タイムウェイト-タイムアウトはCLIでも設定可能
設定方法はこの記事で解説しているので参考にしてほしい。
CLIではこのように見える。
admin@ProaltoNetworksPro# set service custom-service protocol tcp override yes
- halfclose-timeout tcp session half-close timeout value (in second)
- timeout tcp session timeout value (in second)
- timewait-timeout tcp session time-wait timeout value (in second)
Finish input
TCPタイムアウトは有名どころだが、もしあなたがハーフクローズやタイムウェイト-タイムアウトまで扱えるとすれば既にネットワークアドミニストレータとして高いレベルに到達しているにちがいない。
ネットワークアドミニストレータ必携 オススメ最新コンソールケーブル
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント