FortiGateのタイムアウト時間について

FortiGateの「タイムアウト時間」とは、ユーザーセッション、管理画面へのログイン、VPN接続、IDベースのセッションなど、さまざまなセッションやサービスにおいて「一定時間アクティビティがないと自動的に接続を終了させる」ために設定される時間です。

セキュリティとネットワーク資源の最適化のために非常に重要な設定です。

以下に代表的なタイムアウトの種類と詳細、設定方法をわかりやすくまとめます。

管理GUI／CLIのタイムアウト

概要

FortiGateのWeb GUIまたはSSH/CLIで管理者がログインしているときに、一定時間操作がなければ自動的にログアウトさせる機能です。

デフォルト

• Web GUI: 5分
• CLI (SSH, Console): 10分

設定方法（GUI）

1. GUIの場合（管理画面）
   • 「System」>「Administrators」> 対象の管理者アカウントを編集
   • 「Idle Timeout」で時間（1〜480分）を設定
2. CLIの場合 config system global set admin-idle-timeout 10 end ※ 単位は分（ここでは10分）

セッションタイムアウト（Firewall Session Timeout）

概要

ユーザーのTCP/UDP通信がアクティブでない状態が一定時間続いた場合に、そのセッションを強制的に切断するタイマー。

デフォルト値（例）

設定方法（CLI）

全体に適用する場合

config system session-ttl
  set default 1800
end

ポリシーベースで設定する場合（特定ポリシーにだけ適用）

config firewall policy
  edit <policy-id>
    set session-ttl 600
  next
end

SSL VPNセッションのタイムアウト

概要

SSL-VPN接続中に操作がないと自動で切断される時間。

設定場所（CLI）

config vpn ssl settings
  set idle-timeout 300  # 300秒（5分）
end

他にも

• set auth-timeout：再認証までの時間（最大有効期限）
• set session-timeout：セッションそのものの最大長さ

IPSec VPNセッションのタイムアウト

IPSec VPNは、「SA（セキュリティアソシエーション）」の有効期限に基づいてタイムアウトが設定されます。

config vpn ipsec phase1-interface
  edit <name>
    set keylife 3600
  next
end

config vpn ipsec phase2-interface
  edit <name>
    set keylifeseconds 3600
  next
end

• keylife: Phase1のセッション有効期限（秒）
• keylifeseconds: Phase2のセッション有効期限（秒）

ユーザー認証セッション（例：802.1X, Captive Portal, RADIUS等）

設定方法（CLI）

config user setting
  set auth-timeout 600
end

この設定は、ユーザーが認証された後、何分間その認証状態を維持するかを指定します。

Wi-Fiやポータル認証でよく使われます。

アプリケーション固有のセッションタイムアウト

特定のアプリケーション（例：VoIP、SIP、FTPなど）は個別にセッションハンドリングがされており、session-ttl とは別にプロファイルで調整が必要な場合があります。

最適なタイムアウトの設定方法（用途別）

その他の注意点

• タイムアウト値が短すぎると、ユーザーの通信が途中で切断されてクレームになる可能性があります。
• 長すぎると、不要なセッションが残り、セッションテーブルを圧迫してFortiGateのリソースを消費します（セッション数制限に注意）。
• セッションTTLの変更は即時反映されません。既存のセッションには旧値が適用され続けます。必要ならば diag sys session clear でセッションをリセット。

以上、FortiGateのタイムアウト時間についてでした。

最後までお読みいただき、ありがとうございました。