無効なトラフィックイベント

XG Firewall では、無効なトラフィックのログがデフォルトで有効になっています。

無効なトラフィックイベントは、ログビューアに表示されます。次のスクリーンショットに例を示します。


ログに記録された無効なイベントの例

XG Firewall では、接続トラッキングシステム (conntrack) を使用しています。このシステムでは、XG Firewall を通過するすべての TCP セッション (および一部の UDP、ICMP セッション) が追跡されます。

TCP はフラグを使用してオープン接続の状態を制御します。よく使用されるフラグは次のとおりです。

  • SYN (同期): 同期の要求。
  • SYN-ACK (同期の確認応答): 要求に承認し、デバイス間の接続パラメータを確立します。
  • ACK (確認応答): 接続の承認を受け、接続を確立します。この時点で、データ転送を開始できます。
  • PSH (プッシュ): データをすぐに送信します。
  • FIN (終了): セッションの終了を要求します。両方のデバイスがこれを受け入れると、接続がクローズされます。
  • RST (リセット): 応答を待たずにセッションを終了します。予期しないパケットを受信した可能性があります。

XG Firewall は、データパケットの conntrack エントリを確認します。conntrack エントリは、接続初期化パケット (TCP、SYN、ICMP エコー要求など) が送信されたときに生成されます。

ユーザーが現在の接続と一致しないパケットを送信した場合、XG Firewall はこれを無効なトラフィックイベントとしてログに記録します。

一般的なファイアウォールでは、TCP RST や TCP FIN パケットが何度も発生した場合は、攻撃の可能性があるとみなされ、ファイアウォールによって破棄されます。XG Firewall ではこうしたパケットを破棄したうえで、無効なトラフィックイベントとして記録します。

無効なトラフィックイベントの管理

アクセスや接続の問題が発生している場合は、無効なトラフィックイベントを確認する必要があります。

受信する無効なトラフィックイベントの数を減らすことができます。そのためには、Tcp Connection Establishment Idle Timeout の値を変更します。
これによって問題が解決されるわけではありません。XG Firewall によって記録される無効なトラフィックイベントの数が減るだけです。

Tcp Connection Establishment Idle Timeout は、デフォルトで 10800秒 (3時間) に設定されており、アイドル時間が 3時間経過すると、conntrack エントリは期限切れとなります。期限切れになった後でユーザーがパケットを送信すると、conntrack テーブルにある接続と一致しません。XG Firewall によってそのパケットは破棄され、無効なトラフィックイベントとしてログに記録されます。

Tcp Connection Establishment Idle Timeout の値を変更するには、次の手順に従います。

  1. コマンド-ライン インターフェース (CLI) にサインインして、オプション「4. Device Console 」を選択します。
  2. コマンド show advanced-firewall を実行します。

このスクリーンショットは、Tcp Connection Establishment Idle Timeout の値を示しています。


アイドル時間の値を示すスクリーンショット。

Tcp Connection Establishment Idle Timeout の値を増やすことで、ログに記録される無効なトラフィックイベントの数を減らすことができます。たとえば、タイムアウトを 6時間 (21600秒) に増やします。

set advanced-firewall tcp-est-idle-timeout 21600


アイドルタイムアウトのリセットコマンド