| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第2部 統合環境設定 | > 第3章 ポリシー・オブジェクトを作成する | > 3.5 SDFW運用管理サービス | > 3.5.3 システムパラメータ |
ファイウォール機能を経由して通信できる最大コネクション数を設定します。
最大コネクション数は、100000から500000までの範囲で設定できます。
デフォルト値は、100000です。
最大コネクション数に近づいていることを通知する警告コネクション数を設定します。
警告コネクション数は、80000から400000までの範囲で設定できます。
デフォルト値は、80000です。
最大コネクション数に到達した場合、本製品を経由する通信はすべて破棄され、以降のアクセスは制限されます。この制限状態を解除するコネクション数を設定します。
制限解除コネクション数は、60000から300000までの範囲で設定できます。
デフォルト値は、60000です。
ファイアウォール機能を経由してIPパケットが送受信される場合、ファイアウォール機能の内部ではコネクション管理情報を自動的に生成し、当該コネクション上の通信状況を監視しています。
コネクションタイマーは、この自動的に作成されたコネクション管理情報の解放タイミングを、IPプロトコルごとに設定します。
TCPコネクション確立前の監視タイマー値を秒単位で設定します。
従来までの、TCPtimeout[0] に相当します。
なお、本値は、SYN Attackアラート監視の「ACKパケット待ち合わせ時間」としても使用されます。
設定値を経過してもTCPコネクションが確立されない場合、当該TCPコネクション情報は破棄されます。また、SYN Attack監視を行う場合、サーバに対してTCP RSTパケットが送信されます。
TCPコネクション確立タイマーは、1秒から60秒の範囲で指定できます。
デフォルト値は、30秒です。
TCPコネクション確立後の無通信監視タイマー値を秒単位で設定します。
従来までの、TCPtimeout[1] に相当します。
TCPコネクション確立後、設定値を経過しても無通信状態が継続する場合、当該TCPコネクション情報は破棄されます。
TCPコネクション無通信監視タイマー(ESTABLISHED)は、60秒から7200秒の範囲で指定できます。
デフォルト値は、3600秒です。
なお、一旦、本タイマーによりコネクション情報が破棄され、その後で通信を再開すると、「TCP パケットシーケンス異常」アラートが検出されます。このため、このようなアラートが多発する場合、本タイマー値を見直してください。
TCPコネクション解放要求を相手システム(一般には、サーバ側)に通知した後、当該システムからのコネクション解放応答を受信するまでのタイマー値を秒単位で設定します。
TCPコネクション解放要求後、設定値を経過しても相手システムからコネクション解放応答を受信しない場合、当該TCPコネクション情報は破棄されます。
TCPコネクション無通信監視タイマー(FIN_WAIT_2)は、60秒から600秒の範囲で指定できます。
デフォルト値は、300秒です。
なお、一旦、本タイマーによりコネクション情報が破棄され、その後でコネクション解放応答を受信すると、「TCP パケットシーケンス異常」アラートが検出されます。このため、このようなアラートが多発する場合、本タイマー値を見直すか、または、相手システムのコネクション解放要求受信時に長時間に渡ってコネクションを保留していないかを確認してください。
TCPコネクション解放後の残留コネクション保留タイマー値を秒単位で設定します。
従来までの、TCPtimeout[2] に相当します。
TCPコネクション解放後、設定値を経過した時点で、当該TCPコネクション情報は破棄されます。
TCPコネクション解放タイマーは、1秒から15秒の範囲で指定できます。
デフォルト値は、15秒です。
UDPコネクション確立後の無通信監視タイマー値を秒単位で設定します。
従来までの、UDPtimeout[0] に相当します。
UDPコネクション確立後、設定値を経過しても、ある一方向の無通信状態が継続する場合、当該UDPコネクション情報は破棄されます。
UDP無通信監視タイマー(一方向のみ)は、1秒から80秒の範囲で指定できます。
デフォルト値は、60秒です。
UDPコネクション確立後の無通信監視タイマー値を秒単位で設定します。
従来までの、UDPtimeout[1] に相当します。
UDPコネクション確立後、設定値を経過しても、いずれかの方向の無通信状態が継続する場合、当該UDPコネクション情報は破棄されます。
UDP無通信監視タイマー(双方向)は、1秒から80秒の範囲で指定できます。
デフォルト値は、60秒です。
ICMPコネクション確立後の無通信監視タイマー値を秒単位で設定します。
従来までの、ICMPtimeout[0] に相当します。
ICMPコネクション確立後、設定値を経過しても、ある一方向の無通信状態が継続する場合、当該ICMPコネクション情報は破棄されます。
ICMP無通信監視タイマー(一方向のみ)は、1秒から80秒の範囲で指定できます。
デフォルト値は、60秒です。
ICMPコネクション確立後の無通信監視タイマー値を秒単位で設定します。
従来までの、ICMPtimeout[1] に相当します。
ICMPコネクション確立後、設定値を経過しても、いずれかの方向の無通信状態が継続する場合、当該ICMPコネクション情報は破棄されます。
ICMP無通信監視タイマー(双方向)は、1秒から80秒の範囲で指定できます。
デフォルト値は、60秒です。
パケットフィルタリング動作で、「破棄」、または「拒否」動作をしたコネクション情報を解放するタイマー値を秒単位で設定します。
ブロックコネクション解放タイマーは、30秒から60秒の範囲で指定できます。
デフォルト値は、60秒です。
TCP コネクションについて、上記それぞれのタイマー値のタイムアウトによりコネクション情報を解放する場合、解放に先だって、当該コネクションの送信元IPアドレス、送信先IPアドレス上のコネクションが残留しているか否かを確認します。
いずれか一方、または双方のコネクションが残留していない場合、直ちにコネクション情報を解放します。
双方のコネクションが残留している場合、以下の間だけ、コネクション情報の解放を待ち合わせます。
Keep-alive probe送信間隔
コネクション情報が残留しているか否かを確認するKeep-alive probeパケット(TCP のKeepAliveパケットと同様なパケット)の送信間隔を設定します。
Keep-alive probe送信間隔は、10秒から60秒の範囲で指定できます。
デフォルト値は、30秒です。
Keep-alive probe送信回数
Keep-alive probeパケットの送信間隔を設定します。
Keep-alive probe送信回数は、3回から5回の範囲で指定できます。
デフォルト値は、5回です。
|
目次
索引
|