| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.1 IP パケットフィルタリング機能 |
以下に、パケットフィルタリング機能を利用する場合の注意事項について説明します。
パケットフィルタリング機能でパケットを通過処理する時点では、送信先として指定されたホストが、実在するホストであるかは判断できません。このため、不当な送信先ホストを指定した場合、未確立コネクションにより、パケットフィルタリング機能で使用しているコネクション情報に伴うメモリ資源が減少してしまうことが想定されます。一般に、不当な相手ホストへのTCP コネクションの確立保留時間は、OS 機能で制御され、通常、1 分以上が必要です。本製品 では、未確立のTCP コネクションの確立保留時間を指定できます。この機能を使用することで、不当に残留している未確立の TCPコネクション数を削減することができます。
未確立の TCP コネクションの保留時間の設定については、「ファイアウォール機能 リファレンスマニュアル」の「実行環境のチューニング」を参照してください。
UDP/ICMP の場合、TCP のようなコネクションの概念はないため、パケットフィルタリング機能で使用しているコネクション情報に伴うメモリ資源を解放するタイミングはありません。このため、本製品 では、UDP/ICMP データについては、無通信状態となってからのタイムアウトにより、上記コネクション情報に伴うメモリ資源の解放を行っています。
UDP/ICMP データのタイムアウトの設定については、「ファイアウォール機能 リファレンスマニュアル」の「実行環境のチューニング」を参照してください。
|
目次
索引
|