ファイアウォール機能 リファレンスマニュアル
目次 索引 前ページ次ページ
第2章 実行環境のチューニング(Solaris版/Windows版)> 2.5 システムパラメータ> 2.5.2 コネクション監視タイマ

2.5.2.1 コネクション監視タイマの種類

コネクション監視タイマには、以下の種類があります。

コネクション監視タイマに関する環境設定は、「SDFW運用管理サービス」、「コネクション管理」、「コネクションタイマ」で設定してください。

TCPコネクション確立タイマ

TCPコネクション確立前の監視タイマ値を秒単位で設定します。

本値は、SYN Attack監視のタイマ値としても使用されます。

設定値を経過してもTCPコネクションが確立されない場合、当該TCPコネクションテーブルは解放されます。

また、エンドシステム上のTCPコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

デフォルトは30秒です。

TCPコネクション無通信監視タイマ(ESTABLISHED)

TCPコネクション確立後の無通信監視タイマ値を秒単位で設定します。

TCPコネクション確立後、設定値を経過しても無通信状態が継続する場合、TCPコネクション生存監視タイマを起動します。

デフォルトは3600秒です。

TCPコネクション無通信監視タイマ(FIN_WAIT2)

TCPコネクション解放後の相手システムからのコネクション解放応答待合せタイマ値を秒単位で設定します。

デフォルトは300秒です。

TCPコネクション生存監視タイマ(Keep-Aliveオプション)

TCPコネクション無通信監視タイマのタイムアウト後、エンドシステム間のTCPアプリケーションの存在(エンドシステム上のTCPコネクションの存在)を確認します。

この生存確認で使用するタイマを「TCPコネクション生存監視タイマ」と呼びます。

生存監視では、生存監視パケットを双方のエンドシステムに送信し、双方からの応答がない場合、TCPコネクション断と判断し、コネクションテーブルを解放します。また、この場合、応答があったシステムに対して、強制切断パケットを送信し、エンドシステム上のTCPコネクションの解放を行います。

生存監視パケットの内容は、以下の通りです。

パケット種別

説明

生存監視パケット

ユーザデータサイズ

0(TCP/IPヘッダのみ)

SEQ番号

直前パケットのSEQ番号−1

ACK番号

直前パケットのACK番号

TCPコネクション解放タイマ

TCPコネクション解放時の残留コネクション保留タイマ値を秒単位で設定します。

TCPコネクション解放時に相手システムからのFIN パケット受信時間が設定値を経過した時点で、TCPコネクションテーブルは解放されます。

また、エンドシステム上のTCPコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

デフォルトは15秒です。

UDPコネクション無通信監視タイマ(一方向のみ)

UDPコネクション確立後の無通信監視タイマ値を秒単位で設定します。

UDPコネクション確立後、設定値を経過しても、ある一方向の無通信状態が継続する場合、当該UDPコネクションテーブルは解放されます。

また、エンドシステム上のUDPコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

デフォルトは40秒です。

UDPコネクション双方向無通信監視タイマ(双方向)

UDPコネクション確立後の無通信監視タイマ値を秒単位で設定します。

UDPコネクション確立後、設定値を経過しても、いずれかの方向の無通信状態が継続する場合、当該UDPコネクションテーブルは解放されます。

また、エンドシステム上のUDPコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

デフォルトは40秒です。

ICMPコネクション片方向無通信監視タイマ(一方向のみ)

ICMPコネクション確立後の無通信監視タイマ値を秒単位で設定します。

ICMPコネクション確立後、設定値を経過しても、ある一方向の無通信状態が継続する場合、当該ICMPコネクションテーブルは解放されます。

また、エンドシステム上のICMPコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

デフォルトは40秒です。

ICMPコネクション双方向無通信監視タイマ(双方向)

ICMPコネクション確立後の無通信監視タイマ値を秒単位で設定します。

ICMPコネクション確立後、設定値を経過しても、いずれかの方向の無通信状態が継続する場合、当該ICMPコネクションテーブルは解放されます。

また、エンドシステム上のICMPコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

デフォルトは40秒です。

ブロックコネクション解放タイマ

受信したIPパケットを破棄又は拒否した場合、当該コネクション上の通信に対して、ブロックコネクションが生成されます。

ブロックコネクション解放タイマは、本ブロックコネクションを生成してから解放するまでの時間を秒単位で設定します。

デフォルトは60秒です。

■強制切断パケット

コネクション監視タイマがタイムアウトし、エンドシステム上のコネクション回収を行う場合、各エンドシステムに対して強制切断パケットが送信されます。

各エンドシステム(クライアント、サーバ)に送信される強制切断パケットは、以下の通りです。

コネクション種別

パケット形式

TCP

TCP RSTパケット(RFC793)

UDP

ICMP(ICMP_UNREACH/ICMP_UNREACH_PORT) (RFC1716)

ICMP

(ICMP_UNREACH/UNREACH_FILTER_PROHIB) (RFC1716)
目次 索引 前ページ次ページ
All Rights Reserved, Copyright (C) 富士通株式会社 2000-2006