• はじめに
• 特定の通信のTCP セッションタイムアウトの設定手順
• 動作確認
• 参考情報

はじめに

FMC にて、Threat Defense Service Policy を利用して特定通信の TCP セッションタイムアウト値を設定できます。

本ドキュメントでは、FMCにて特定通信のTCP セッションタイムアウトの設定方法及び動作確認方法を紹介します。

FMC バージョン 7.2.5 及び FTD 7.2.5を元に確認、作成しました。

特定の通信のTCP セッションタイムアウトの設定手順

特定の通信を選定するため、まずは以下の手順で Access Control List を作成します。

Policies > Access Control に進み、使用する Access Control Policy の edit アイコンをクリックします。

Advanced をクリックし、また、Threat Defense Service Policy の edit アイコンをクリックします。

事前作成したAccess Control Listを指定します。

指定したいタイムアウト値に設定します。本記事では例として30分に設定しました。

動作確認

デフォルトでグローバルの TCP セッションタイムアウトは 60 分であり、最初セッションのtimeoutは 60 分となります。

TCP outside: 192.168.200.22/21 (192.168.200.22/21) inside: 192.168.100.11/1339 (192.168.100.11/1339), flags UIO N1, idle 28s, uptime 31s, timeout 1h0m, bytes 122

特定の通信の TCP セッションタイムアウト値を 30 分に設定した後、以下のようにTCP セッションタイムアウトは 30 分になったことを確認できます。

TCP outside: 192.168.200.22/21 (192.168.200.22/21) inside: 192.168.100.11/1457 (192.168.100.11/1457), flags UIO N1, idle 4s, uptime 7s, timeout 30m0s, bytes 122

グローバルの TCP セッションタイムアウト値については Device > Platform Settings > Platform Setting Policy から設定できます。

参考情報

Cisco Secure Firewall Management Center Device Configuration Guide, 7.2