- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
Enhanced Security Measures in Place: To ensure a safer experience, we’ve implemented additional, temporary security measures for all users.
皆さんもよくご存じの通り市場で販売されている次世代ファイアウォール製品はほぼすべてがステートフルファイアウォールであり、TCP/UDPのセッションを識別し、内部でセッションテーブルが管理され、生成されたセッションの戻りパケットを自動的に通過させる仕組みで動作します。そのため、次世代ファイアウォールの製品選定するときに必ず確認すべきは「同時最大セッション数」です。同時最大セッション数とは、セッションテーブルの大きさであり、同時に処理できる最大セッション数であり、同時最大セッション数を超えると通信が不安定になったり、通信不可になることもあります。なので、最大同時セッション数は重要なのです。
では、このセッションテーブルの管理はどのようにされているか皆さんご存じでしょうか?
TCPやUDP、さらにICMPなどの通信で許可されている新しいセッションのパケットが最初に流れると、セッションテーブルに新しいエントリが生成されます。生成されてばかりだと、いつかセッションテーブルが一杯になりますが、これらのエントリは、そのセッションが継続している間は保持されますが、セッションが終了した場合に削除されます。そうしてセッションテーブルは管理されています。
ここで重要なのは、各セッションがどれぐらい保持されるかです。TCPの場合、TCPのメッセージの中でセッションを終了するためのFIN-CLOSEという手順があり、TCPセッションの終了が次世代ファイアウォールでも検知でき、FIN-CLOSEにてセッションテーブルからセッションを破棄できます。しかし、TCP通信でも昨今はWiFi環境での利用が増え、またWebブラウザを終了するなどの操作で、FIN-CLOSEしないTCPセッションがかなり発生します。それらのTCPセッションはセッションタイマー制御で通信がなくなってからタイムアウトするまで保持されます。一般的にTCPのセッションタイマーは3,600秒です。つまり実際の通信では例えば30秒しか使わないセッションだったとしても、FIN-CLOSEされなければ不要なTCPセッションは3,600秒保持されてしまいます。
また、UDPの場合、TCPと違いプロトコル的に通信を終了するという手順がありません。従いまして、UDPはすべてセッションタイムアウトでエントリが破棄されます。一般的にUDPのセッションタイマーは180秒や300秒ぐらいが多いです。つまり、例えばDNSによる名前解決で数秒程度の通信が行われても、そのセッションエントリは180秒や300秒ほど保持されます。
ここまで読んで、既にお気づきの方もおられると思いますが、セッションテーブルにて保持されるセッションエントリでは、FIN-CLOSEされないTCPセッションや、UDPセッションの多くは既に不要になっているものが多く含まれるということです。昨今のクラウド利用で次世代ファイアウォールを通過するセッション数が増加するので、最大同時セッション数の多い上位機種の製品が必要と思われているケースもあると思いますが、実はこれらの不要なセッションのために同時セッション数が増加し、悩まれている可能性があります。
この不要なセッションエントリを減らすために工夫がパロアルトネットワークスの次世代ファイアウォールでは実装されています。具体的な実装としては以下の2つです。
他社ファイアウォールからパロアルトネットワークスの次世代ファイアウォールへ変更する場合や、他社次世代ファイアウォールと比較検討されるときに、最大同時セッション数の比較は行われますが、パロアルトネットワークス次世代ファイアウォールでは上述したようなセッションテーブルリソースを最適に利用する機能があることで、同じネットワーク環境でもセッションテーブルの消費が他社とは異なり低く抑えられます。過去に実環境での実測した結果では半分程度のセッション数になったという結果もあります。
他社製品で安価で最大同時セッション数が多いことをアピールしている製品もありますが、逆に無駄なリソースを消費しているだけとも言えますので、本当に必要なリソースがどれぐらいであるかを見極め、また、他社ファイアウォールでの同時セッション数とパロアルトネットワークスの場合の同時セッション数が異なるということをご理解いただき、適切なモデル選定をしていただければと思います。
尚、パロアルトネットワークス次世代ファイアウォールでの、同時セッション数は、リアルタイムであればGUIやCLIにて確認ができますが、過去の傾向についてはPAシリーズ本体では確認できません。過去の同時セッション数を確認する方法としては、以下の方法があります。
今後の次世代ファイアウォールの検討時に参考になれば幸いです。