本来ファイアーウォールですから、一定時間利用していないポートを閉じるというのがセキュリティ上好ましいのですが、NSX6.2まではそのような機能実装はなくどちらかというとL3スイッチのような感じのACLで動作していた感があります。
今回のセッションタイマー機能は、まさに「ファイアーウォール」としては必要な機能が導入されたということになります。
このセッションタイマーについて紹介します。
まず、このセッションタイマー設定は、vSphere Web ClientのNetwork and Security→ファイアーウォールの画面から、新たに追加された"設定"タブ"を開きます。
ポリシーは、新規で追加可能ですので、自由にポリシーを作成できます。
まず各タイムアウト値ですが、TCP/UDP/ICMPで各パラメーターの設定が可能です。
ポリシーで設定できるパラメーターと範囲は以下の通りです。
TCP | 説明 |
最初のパケット (First Packet) | 最初のパケットが送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。 設定範囲:10~4320000 |
開く (Open) | 2 番目のパケットが転送された後の、接続のタイムアウト値です。デフォルトは 30 秒です。 設定範囲:10~4320000 |
Established | 接続が完全に確立された後の、接続のタイムアウト値です。 設定範囲:120~4320000 |
Closing | 最初の FIN が送信された後の、接続のタイムアウト値です。デフォルトは 120 秒です。 設定範囲:10~4320000 |
Fin Wait | 両方の FIN が交換され、接続が閉じられた後の、接続のタイムアウト値です。デフォルトは 45 秒です。 設定範囲:10~4320000 |
Closed | 1 つのエンドポイントが RST を送信した後の、接続のタイムアウト値です。デフォルトは 20 秒です。 設定範囲:10~4320000 |
UDP | 説明 |
最初のパケット (First Packet) | 最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい UDP フローの最初のタイムアウトになります。 設定範囲:10~4320000 |
単一 (Single) | 送信元ホストが複数のパケットを送信し、宛先ホストが送り返さなかった場合の、接続のタイムアウト値です。 設定範囲:10~4320000 |
複数 (Multiple) | 両方のホストがパケットを送信した場合の、接続のタイムアウト値です。 設定範囲:10~4320000 |
ICMP | 説明 |
最初のパケット (First Packet) | 最初のパケットが送信された後の、接続のタイムアウト値です。これは、新しい ICMP フローの最初のタイムアウトになります。 設定範囲:10~4320000 |
応答エラー (Error reply) | ICMP パケットへの応答で ICMP エラーが返された後の、接続のタイムアウト値です。 設定範囲:10~4320000 |
(参考)セッションタイマー
http://pubs.vmware.com/nsx-63/index.jsp#com.vmware.nsx.admin.doc/GUID-0A88046C-D77B-4380-99C3-A631A93E4999.html
なお、設定範囲はVMware提供のドキュメントには、設定できる範囲が記載されていませんが、画面上に設定範囲外の値を入力すると、設定できる範囲が表示されます。
また、このパラメーターの適用範囲は、「仮想マシン」と「vNIC」の2つから選択可能です。
仮想マシンの場合は、ポリシーに対して、仮想マシンを選択する形となります。
一方で、vNICの場合、仮想マシンから仮想NICを選択する形となります。
仮想NICごとにタイムアウトパラメーターを変更することが可能ですので、DBサーバーとアプリケーションサーバーのコネクションプールによる接続などが行われている場合、柔軟な設定が可能となります。
ちなみに、複数のポリシーを作成することが可能ですが、1つの仮想マシンや仮想NICなどのオブジェクトを複数のポリシーに適用させることはできません。1つのオブジェクト(仮想マシンまたは仮想NIC)は、かならず1つのポリシーにしか属せないという制約があります。なお、すでに別のポリシーが適用されたものを別のポリシーに二重で適用しようとした場合、「仮想マシンvNICはすでに別のタイマーの一部として設定されています。[解決]をクリックして、選択されたリストから削除してください」とエラー画面が表示されます。
ただし、タイムアウト値を「0」つまりタイムアウトさせないという設定はできませんので、注意が必要です。NSX6.3にアップデートした場合は、重要な仕様変更ですので、注意が必要です。
0 件のコメント:
コメントを投稿