丁寧に回答いただき、本当にありがとうございます♪ WebサーバはLinuxですが、サーバ側でtcpレベルの設定をしてやれば、 LBの問題を少しカバーできるという解釈で正しいでしょうか？ いずれにせよ、本格的な攻撃を受けたらおそらくはサービス自身は どうしようもないと理解しているつもりです。 その点については、サーバがハングしてノットあれないような対策を しておくことと、速やかに攻撃を把握して必要があればサーバを落と す（？）などの対応の体制が必要なのかと考えています。 「上位のポイントからのトラフィック制御が必要となる」というのは 現状のFW－LB－Webの構成でいえば、FWの位置での制御が必要という 理解で正しいですよね？ 初歩的な質問ばかりの繰り返しで申し訳ありませんが、もう少し お付き合いいただけると助かります。

丁寧に説明いただき、感謝感謝です！！ ありがとうございます！！！ 結局、外部サービスを利用しているFWの種類を変えるかUTMにするか しかない感じですね(^_^;) ふと思いついたのですが、LB（ロードバランサ）の後ろにWebサーバ がいるわけですが、Webサーバ側でもタイムアウト値の設定があるの では？？？（まだ調べてません）と思いました。 ブラウザ（IE）のタイムアウト値は60分だそうですが、通常それほど 待つことってないと思います。 それは、たとえば中継サーバ（たとえばFW）のタイムアウトにより セッションが遮断されるなどでブラウザのタイムアウト値よりはるか に早くタイムアウト処理がされているのではと考えています。 上記と同じ考え方をすると、Webサーバのタイムアウト値が60分以下 であれば、そのタイムアウトになったらWebサーバ⇒LBにセッション 切断の信号が送られるのでは？？？つまり、結果としてLBにセッション がたまる事はないのでは？？と思いました。 この考え方は正しいでしょうか？ちなみにWebサーバはApache2.2 （おそらく）です。 LB側の仕様の問題もあるかもしれませんので、その点はLB側のメーカ に問い合わせてみようとは思いますが、もし上記に何かお気づきの点が あれば教えていただけると嬉しいです。 どうぞよろしくお願いします。

回答ありがとうございます♪ 要は、現在利用しているFWのサービス機能が足りない（タイムアウト時にRSTを送信しないため）ということでしょうか？ ものによってはFWでもRSTを送信するものがあるということでしょうか？ 専用のセキュリティ・ゲートウェイ機器の設置とはFWとLBの間に設置すればよいのでしょうか？ 回答だけ拝読して、まだ私の方で未調査のため、変な質問でしたら申し訳ありません。 「ウェイトタイム調整出来ない場合、ルータやスイッチによってSYNパケットの帯域制限を行うのが基本となります」 ということは、現状の設定（FW側で1セッション／としている）が現状できる最良の策であり、攻撃に備えるのであれば、LBの最大同時セッション数を3660にする、ということができうる対策ということで間違いないでしょうか。 自分の考えていることが正しいのかどうか、今一不安を覚えているので、ご回答いただければ嬉しいです。 よろしくお願いします。