遅延後に同期させるサービスの設定
TCPサービスの中には(例えばHTTP)、非常に短い時間での接続を特徴とするものがあります。なぜなら、同期された接続はすべてSecurity Groupのリソースを消費し、内部フェイルオーバーが発生するまでに接続が終了してしまう可能性が高いからです。
短命のサービスでは、Delayed Notifications 機能を使用して、接続について Security Group に伝えるのを遅らせ、接続が開始されてから X 秒(デフォルトでは 3 秒)後にまだ存在する場合にのみ、接続が同期されるようにすることができ ます。遅延通知機能を使用するには、SecureXL
セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。がSecurity Groupで有効になっている必要があります(デフォルトはこれです)。
|
|
注:
|
遅延通知」機能を制御する場合。
-
この機能を有効にするには(これがデフォルトです)。
-
Security Groupでコマンドラインに接続します。
-
エキスパートモード
CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。 -
次を実行します:
-
以前に無効化した場合、現在のセッションで一時的に有効化する(再起動しても無効化されない)。
g_fw ctl set int fw_cluster_use_delay_sync 1 -
先に無効化した場合、恒久的に有効にする(再起動後も有効)。
g_update_conf_file fw_cluster_use_delay_sync=1
-
-
-
この機能を無効にする場合(CPU負荷が増加します)。
-
Security Groupでコマンドラインに接続します。
-
エキスパートモードにログインします。
-
次を実行します:
-
現在のセッションで一時的に無効化する(再起動しても無効化されない)。
g_fw ctl set int fw_cluster_use_delay_sync 0 -
永久に無効化する(再起動後も有効)。
g_update_conf_file fw_cluster_use_delay_sync=0
-
-
適用可能な遅延時間を設定する。
-
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Objects > Object Explorer をクリックします。 -
左のツリーで、Services の左側にある小さな矢印をクリックすると、このカテゴリが展開されます。
-
左側のツリーで、TCP を選択します。
-
該当するTCPサービスを検索します。
-
該当するTCPサービスをダブルクリックします。
-
TCPサービスプロパティウィンドウで、Advanced ページをクリックします。
-
上部で、Override default settings を選択します。
Domain Management Server
Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。で、Override global domain settingsを選択します。 -
一番下の、Cluster and synchronization の項目で。
-
Synchronize connections on cluster if State Synchronization is enabled on the clusterを選択します。
-
Start synchronizingを選択します。
-
該当する値を入力してください。
重要- この変更は、このサービスを使用するすべてのポリシーに適用されます。
-
-
OKをクリックします。。
-
Object Explorer を閉じる。
-
SmartConsoleセッションを公開する。
-
Scalable Platform Security Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。
|
|
注:接続テンプレートがFirewallからSecureXLにオフロードされない場合、サービスオブジェクトの遅延通知の設定は無視されます。接続テンプレートの詳細については、R81.10 Performance Tuning Administration Guide を参照してください。 |
