Fortinet製品サポートトップ > Fortinet製品FAQ(よくあるご質問)トップ > ファイアウォール / UTM
ID
:
FG-21-0054
公開日
:
2019/04/01
更新日
:
2023/02/07
OS Ver
:
5.6, 6.0, 6.2, 6.4, 7.0, 7.2, 7.4
FortiGateのセッションのタイムアウトのデフォルト値は、以下の通りです。
セッション生成後、以下の時間、当該セッションが無通信の場合はセッションを閉じます。
尚、TCP及びUDPは、このタイムアウト時間を変更することができます。変更時は、以下の優先順位で適用されます。
※タイムアウト値の変更は、CLIでのみ行うことが出来ます。
TTLは、個々のF/Wポリシーで処理するセッションごとに割り当てられます。以下は、あるF/Wポリシーの表示例です。尚、セッションタイムアウトに関連しない項目は一部割愛しています。
該当のセッションを処理するF/Wポリシーで、どの アプリケーション、F/Wサービス が設定されているかは、以下F/Wポリシーを確認する事で判断できます。
下例では、app-sample という名前のアプリケーションリストと、"HTTP" という F/Wサービスが割り当たっていることを示します。尚、application-list 項を設定する場合は、set utm-status enable で事前にUTM機能を有効にしておく必要があります。
1.アプリケーションリスト(config application list)のTTL
アプリケーションリストのTTLは、以下のコマンドで確認することができます。
以下は、app-sample というアプリケーションリストの表示例です。この例では、2つのアプリケーション(ID:27210 と ID:15832)が定義されており、ID:27210 では、900秒のTTLが設定されています。 一方、ID:15832 には、TTLは設定されていません(デフォルト)。このように設定されていない、または session-ttl が 0 となっている場合は、特別にTTLは設定されておらず、当該セッションには、2.F/Wサービス以降で設定されているTTLが割り当たります。
セッションタイムアウト値は、以下 set session-ttl コマンドで設定することができます。
また、TTLの設定範囲は、set session-ttl コマンドの後に ? を付与することで確認することができます。
2.F/Wサービス(firewall service custom)のTTL
F/WサービスのTTLは、以下のコマンドで確認することができます。
以下は、HTTP サービスの表示例です。この例では、300秒が設定されていることが判ります。
尚、set session-ttl コマンドが表示されない、もしくは 0 が設定されている(デフォルト)場合は、特別にTTLは設定されていないことを示します。
セッションタイムアウト値の設定、また設定範囲の確認は、前項 1.アプリケーションリスト(config application list)のTTL と同様に set session-ttl コマンドで行います。
3.FWポリシー(config firewall policy)のTTL
FWポリシーのTTLは、F/Wポリシーの表示例にもある、以下のコマンドで確認することができます。
2.F/Wサービス(firewall service custom)のTTL と同様に、set session-ttl コマンドが表示されない、もしくは 0 が設定されている(デフォルト)場合は、特別にTTLは設定されていないことを示します。
セッションタイムアウト値の設定、また設定範囲の確認も同様で、set session-ttl コマンドで行います。
4.個別ポート(config system session-ttl)のTTL
個別ポートにTTLが設定されているかは、以下コマンドで確認します。
以下は、コマンド実行例です。
以例のように、config port 配下に設定がある場合は、個別ポートにTTLが割り当てられています。config port以下に設定が無い場合は、個別ポートへの設定はありません。
以下では、80/tcp に、7200秒が、ICMPに 10秒がそれぞれ割り当てられています。
※set protocol 項は、IANAで定義されている番号です。(1=ICMP, 6=TCP, 17=UDP 等)。
5.グローバルデフォルト設定のTTL
グローバル設定は、TCPとUDPで定義場所が異なります。以下それぞれのコマンドで確認することができます。
※ICMPはグローバルとして設定変更することはできません。
セッション生成後、以下の時間、当該セッションが無通信の場合はセッションを閉じます。
- TCP :3,600秒
- UDP : 180秒
- ICMP : 60秒
尚、TCP及びUDPは、このタイムアウト時間を変更することができます。変更時は、以下の優先順位で適用されます。
※タイムアウト値の変更は、CLIでのみ行うことが出来ます。
- アプリケーションリスト(config application list)のTTL
- F/Wサービス(firewall service custom)のTTL
- FWポリシー(config firewall policy)のTTL
- 個別ポート(config system session-ttl)のTTL
- グローバルデフォルト設定のTTL
TTLは、個々のF/Wポリシーで処理するセッションごとに割り当てられます。以下は、あるF/Wポリシーの表示例です。尚、セッションタイムアウトに関連しない項目は一部割愛しています。
該当のセッションを処理するF/Wポリシーで、どの アプリケーション、F/Wサービス が設定されているかは、以下F/Wポリシーを確認する事で判断できます。
下例では、app-sample という名前のアプリケーションリストと、"HTTP" という F/Wサービスが割り当たっていることを示します。尚、application-list 項を設定する場合は、set utm-status enable で事前にUTM機能を有効にしておく必要があります。
FGT60EXXXXXXXXXX # show full-configuration firewall policy 2
config firewall policy
edit 2
set name "Sample Policy"
set uuid 83ca38c4-3a67-51e9-6b3e-9437f3c23e08
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set utm-status enable
set status enable
set schedule "always"
set service "HTTP" <- 2.F/Wサービス
set session-ttl 600
set application-list "app-sample" <- 1.アプリケーションリスト
set ssl-ssh-profile "deep-inspection"
set nat enable
next
:
1.アプリケーションリスト(config application list)のTTL
アプリケーションリストのTTLは、以下のコマンドで確認することができます。
FGT60EXXXXXXXXXX # show application list <アプリケーションリスト名>
以下は、app-sample というアプリケーションリストの表示例です。この例では、2つのアプリケーション(ID:27210 と ID:15832)が定義されており、ID:27210 では、900秒のTTLが設定されています。 一方、ID:15832 には、TTLは設定されていません(デフォルト)。このように設定されていない、または session-ttl が 0 となっている場合は、特別にTTLは設定されておらず、当該セッションには、2.F/Wサービス以降で設定されているTTLが割り当たります。
FGT60EXXXXXXXXXX # show application list app-sample
config application list
edit "app-sample"
config entries
edit 1
set application 27210
set session-ttl 900 <- セッションタイムアウト値(TTL)
next
edit 2
set application 15832
next
end
next
end
セッションタイムアウト値は、以下 set session-ttl コマンドで設定することができます。
FGT60EXXXXXXXXXX (1) # set session-ttl <TTL値>
また、TTLの設定範囲は、set session-ttl コマンドの後に ? を付与することで確認することができます。
FGT60EXXXXXXXXXX (1) # set session-ttl
session-ttl Enter an integer value from <0> to <4294967295>.
2.F/Wサービス(firewall service custom)のTTL
F/WサービスのTTLは、以下のコマンドで確認することができます。
FGT60EXXXXXXXXXX # show firewall service custom <サービス名>
以下は、HTTP サービスの表示例です。この例では、300秒が設定されていることが判ります。
尚、set session-ttl コマンドが表示されない、もしくは 0 が設定されている(デフォルト)場合は、特別にTTLは設定されていないことを示します。
FGT60EXXXXXXXXXX # show firewall service custom HTTP
edit "HTTP"
set category "Web Access"
set tcp-portrange 80
set session-ttl 300 <- セッションタイムアウト値(TTL)
next
end
セッションタイムアウト値の設定、また設定範囲の確認は、前項 1.アプリケーションリスト(config application list)のTTL と同様に set session-ttl コマンドで行います。
3.FWポリシー(config firewall policy)のTTL
FWポリシーのTTLは、F/Wポリシーの表示例にもある、以下のコマンドで確認することができます。
FGT60EXXXXXXXXXX # show full-configuration firewall policy <ID>
2.F/Wサービス(firewall service custom)のTTL と同様に、set session-ttl コマンドが表示されない、もしくは 0 が設定されている(デフォルト)場合は、特別にTTLは設定されていないことを示します。
セッションタイムアウト値の設定、また設定範囲の確認も同様で、set session-ttl コマンドで行います。
4.個別ポート(config system session-ttl)のTTL
個別ポートにTTLが設定されているかは、以下コマンドで確認します。
FGT60EXXXXXXXXXX # show full-configuration system session-ttl
以下は、コマンド実行例です。
以例のように、config port 配下に設定がある場合は、個別ポートにTTLが割り当てられています。config port以下に設定が無い場合は、個別ポートへの設定はありません。
以下では、80/tcp に、7200秒が、ICMPに 10秒がそれぞれ割り当てられています。
※set protocol 項は、IANAで定義されている番号です。(1=ICMP, 6=TCP, 17=UDP 等)。
FGT60EXXXXXXXXXX # show full-configuration system session-ttl
config system session-ttl
set default 3600
config port
edit 1
set protocol 6
set timeout 7200 <- セッションタイムアウト値(TTL)
set start-port 80
set end-port 80
next
edit 2
set protocol 1
set timeout 10 <- セッションタイムアウト値(TTL)
next
end
end
5.グローバルデフォルト設定のTTL
グローバル設定は、TCPとUDPで定義場所が異なります。以下それぞれのコマンドで確認することができます。
※ICMPはグローバルとして設定変更することはできません。
FGT60EXXXXXXXXXX # show full-configuration system global | grep udp-idle-timer
set udp-idle-timer 180
FGT60EXXXXXXXXXX # show full-configuration system session-ttl | grep default
set default 3600