Aplicativos de política predefinidos

Entendendo os aplicativos de políticas predefinidos relacionados à Internet

Ao criar uma política, você pode especificar aplicativos pré-definidos relacionados à Internet para a política.

A Tabela 1 lista aplicativos predefinidos relacionados à Internet. Dependendo dos seus requisitos de rede, você pode optar por permitir ou negar qualquer um desses ou todos esses aplicativos. Cada entrada lista o nome do aplicativo, a porta de recebimento padrão e a descrição do aplicativo.

Tabela 1: Aplicativos predefinidos
Nome do aplicativo	Porta(s)	Descrição do aplicativo
AOL	5190-5193	O provedor de serviços de Internet On-line (ISP) da America Online oferece aplicativos de Internet, bate-papo e mensagens instantâneas.
Retransmissão DHCP	67 (padrão)	Protocolo dinâmico de configuração do host.
DHCP	68 clientes 67 servidores	O Protocolo dinâmico de configuração do host aloca endereços de rede e oferece parâmetros de configuração do servidor aos hosts.
DNS	53	O Domain Name System traduz nomes de domínio em endereços IP.
FTP	20 dados 21 controle	O protocolo de transferência de arquivos (FTP) permite o envio e o recebimento de arquivos entre máquinas. Você pode optar por negar ou permitir QUALQUER ou permitir ou negar seletivamente. Recomendamos negar aplicativos FTP de fontes não confiáveis (Internet).
Gopher	70	Gopher organiza e exibe o conteúdo dos servidores de Internet como uma lista hierarquicamente estruturada de arquivos. Recomendamos negar acesso à Gopher para evitar expor sua estrutura de rede.
HTTP	80	O HyperText Transfer Protocol é o protocolo subjacente usado pela World Wide Web (WWW). Negar o aplicativo HTTP desativa seus usuários de visualizar a Internet. Permitir o aplicativo HTTP permite que seus hosts confiáveis visualizem a Internet.
HTTP-EXT	—	Protocolo de transferência de hipertexto com portas fora do padrão estendidas
HTTPS	443	O protocolo de transferência de hipertexto com a Camada de Tomada Segura (SSL) é um protocolo para a transmissão de documentos privados pela Internet. Negar HTTPS desativa seus usuários de fazer compras na Internet e de acessar determinados recursos on-line que exigem troca segura de senhas. Permitir o HTTPS permite que seus hosts confiáveis participem da troca de senhas, comprem on-line e visitem vários recursos on-line protegidos que exigem o login do usuário.
Serviço de localizador de Internet	—	O serviço de localizador de Internet inclui LDAP, Serviço de localizador de usuários e LDAP em TSL/SSL.
IRC	6665-6669	O Internet Relay Chat (IRC) permite que pessoas conectadas à Internet participem de discussões ao vivo.
LDAP	389	O Lightweight Directory Access Protocol é um conjunto de protocolos usados para acessar diretórios de informações.
PC em qualquer lugar	—	PC em qualquer lugar é um software de controle remoto e transferência de arquivos.
TFTP	69	O Trivial File Transfer Protocol (TFTP) é um protocolo de transferência simples de arquivos.
WAIS	—	O Wide Area Information Server é um programa que encontra documentos na Internet.

Nota:

A partir do lançamento do Junos OS Junos OS Release 18.4R1, aplicativos criptografados como HTTP, SMTP, IMAP e POP3 sobre SSL são identificados como junos:HTTPS, junos:SMTPS, junos:IMAPS e junos:POP3S em aplicativos e conjuntos de aplicativos predefinidos do Junos OS. Por exemplo: se você configurar uma política de segurança para permitir ou negar tráfego HTTPS, você deve especificar critérios de correspondência de aplicativos como junos:HTTPS. Em versões anteriores do Junos OS, ambos os aplicativos HTTP e HTTP criptografado (HTTPS) podem ser configurados usando um mesmo critério de correspondência de aplicativos que junos:HTTP.

Entendendo os aplicativos de política predefinidos da Microsoft

Ao criar uma política, você pode especificar aplicativos Microsoft predefinidos para a política.

A Tabela 2 lista aplicativos Microsoft predefinidos, parâmetros associados a cada aplicativo e uma breve descrição de cada aplicativo. Os parâmetros incluem identificadores únicos universais (UUIDs) e portas de origem e destino TCP/UDP. Um UUID é um número único de 128 bits gerado a partir de um endereço de hardware, um temporizador e valores de semente.

Tabela 2: Aplicativos Microsoft predefinidos
Aplicativo	Parâmetro/UUID	Descrição
Junos MS-RPC-EPM	135 e1af8308-5d1f-11c9-91a4-08002b14a0fa	Protocolo de endpoint mapper (EPM) de chamada de procedimento remoto (RPC) da Microsoft.
Junos MS-RPC	—	Quaisquer aplicativos de chamada de procedimento remoto (RPC) da Microsoft.
Junos MS-RPC-MSEXCHANGE	3 membros	O grupo de aplicativos do Microsoft Exchange inclui: Junos-MS-RPC-MSEXCHANGE-BASE DE DADOS Junos-MS-RPC-MSEXCHANGE-DIRECTORY Junos-MS-RPC-MSEXCHANGE-INFO-STORE
Junos-MS-RPC-MSEXCHANGE-BASE DE DADOS	1a190310-bb9c-11cd-90f8-00a0a0466520	Aplicativo de banco de dados do Microsoft Exchange.
Junos-MS-RPC-MSEXCHANGE-DIRECTORY	f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426	Aplicativo do Microsoft Exchange Directory.
Junos-MS-RPC-MSEXCHANGE-INFO-STORE	0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde 1453c42c-0fa6-11d2-a910-00c04f990f3b 10f24e8e-0fa6-11d2-a910-00c04f990f3b 1544f5e0-613c-11d1-93df-00c04fd7bd09	Aplicativo da Microsoft Exchange Information Store.
Junos-MS-RPC-TCP	—	Aplicativo do Microsoft Transmission Control Protocol (TCP).
Junos-MS-RPC-UDP	—	Aplicativo do Microsoft User Datagram Protocol (UDP).
Junos-MS-SQL	—	Linguagem de consulta estruturada da Microsoft (SQL).
Junos-MSN	—	Aplicativo Microsoft Network Messenger.

Entendendo os protocolos de roteamento dinâmicos Aplicativos de política predefinidos

Ao criar uma política, você pode especificar aplicativos de protocolo de roteamento dinâmico predefinidos para a política.

Dependendo dos requisitos de sua rede, você pode optar por permitir ou negar mensagens geradas a partir desses protocolos dinâmicos de roteamento e pacotes desses protocolos dinâmicos de roteamento. A Tabela 3 lista cada protocolo de roteamento dinâmico suportado por nome, porta e descrição.

Tabela 3: Protocolos de roteamento dinâmico
Protocolo de roteamento dinâmico	Porta	Descrição
RIP	520	O RIP é um protocolo comum de roteamento de vetor de distância.
OSPF	89	O OSPF é um protocolo comum de roteamento de estado de enlace.
BGP	179	BGP é um protocolo de roteamento exterior/interdomain.

Entendendo aplicativos de políticas predefinidos em streaming de vídeo

Ao criar uma política, você pode especificar aplicativos de streaming de vídeo predefinidos para a política.

A Tabela 4 lista cada aplicativo de streaming de vídeo suportado por nome e inclui a porta e a descrição padrão. Dependendo dos seus requisitos de rede, você pode optar por permitir ou negar qualquer um desses ou todos esses aplicativos.

Tabela 4: Aplicativos de streaming de vídeo suportados
Aplicativo	Porta	Descrição
H.323	Fonte TCP 1-65535; Destino TCP 1720, 1503, 389, 522, 1731 Fonte UDP 1-65535; Fonte UDP 1719	O H.323 é um padrão aprovado pela União Internacional de Telecomunicações (ITU) que define como os dados de conferências audiovisuais são transmitidos por redes.
Netmeeting	Fonte TCP 1-65535; Destino TCP 1720, 1503, 389, 522 Fonte UDP 1719	O Microsoft NetMeeting usa o TCP para fornecer aplicativos de teleconferência (vídeo e áudio) pela Internet.
Mídia real	Fonte TCP 1-65535; Destino TCP 7070	A Real Media está transmitindo tecnologia de vídeo e áudio.
RTSP	554	O protocolo de streaming em tempo real (RTSP) é para aplicativos de streaming de mídia
SIP	5056	O Session Initiation Protocol (SIP) é um protocolo de controle de camada de aplicativo para criar, modificar e encerrar sessões.
VDO ao vivo	Fonte TCP 1-65535; Destino TCP 7000-7010	VDOLive é uma tecnologia de streaming de vídeo escalável.

Entendendo os aplicativos de política predefinidos do Sun RPC

Ao criar uma política, você pode especificar aplicativos Sun RPC predefinidos para a política.

A Tabela 5 lista cada nome, parâmetros e nome completo do aplicativo de gateway de camada de aplicativo (RPC ALG) de procedimento remoto Sun.

Tabela 5: Aplicativos RPC ALG
Aplicativo	Números do programa	Nome completo
SUN-RPC-PORTMAPPER	111100000	Protocolo Sun RPC Portmapper
SUN-RPC-ANY	QUALQUER	Quaisquer aplicativos Sun RPC
SUN-RPC-PROGRAM-MOUNTD	100005	Sun RPC Mount Daemon
SUN-RPC-PROGRAM-NFS	100003 100227	Sun RPC Network File System
SUN-RPC-PROGRAM-NLOCKMGR	100021	Sun RPC Network Lock Manager
SUN-RPC-PROGRAM-RQUOTAD	100011	Daemon de cotas remotas Sun RPC
SUN-RPC-PROGRAM-RSTATD	100001	Daemon de status remoto do RPC sun
SUN-RPC-PROGRAM-RUSERD	100002	Sun RPC Remote User Daemon
SUN-RPC-PROGRAM-SADMIND	100232	Sun RPC System Administration Daemon
SUN-RPC-PROGRAM-SPRAYD	100012	Sun RPC Spray Daemon
STATUS DO SUN-RPC-PROGRAM	100024	Sun RPC Status
SUN-RPC-PROGRAM-WALLD	100008	Sun RPC Wall Daemon
SUN-RPC-PROGRAM-YPBIND	100007	Aplicativo Sun RPC Yellow Page Bind

Entendendo a segurança e os aplicativos de política predefinidos de túneis

Ao criar uma política, você pode especificar aplicativos de segurança e túneis predefinidos para a política.

A Tabela 6 lista cada aplicativo suportado e oferece a(s) porta(s) padrão e uma descrição de cada entrada.

Tabela 6: Aplicativos com suporte
Aplicativo	Porta	Descrição
IKE	Fonte UDP 1-65535; Destino UDP 500	Internet Key Exchange é o protocolo que configura uma associação de segurança no pacote de protocolo IPsec. O protocolo Internet Key (IKE) é um protocolo para obter material de chaveamento autenticado para uso com ISAKMP.
IKE-NAT	4500	A IKE-Network Address Translation (NAT) executa NAT de Camada 3 para tráfego S2C IKE.
L2TP	1701	L2TP combina PPTP com encaminhamento de camada 2 (L2F) para acesso remoto.
PPTP	1723	O protocolo de tunelamento ponto a ponto permite que as corporações estendam sua própria rede privada através de túneis privados pela Internet pública.

Entendendo os aplicativos de políticas predefinidos relacionados a IP

Ao criar uma política, você pode especificar aplicativos pré-definidos relacionados a IP para a política.

A Tabela 7 lista os aplicativos predefinidos relacionados a IP. Cada entrada inclui a porta padrão e uma descrição do aplicativo.

TCP-ANY significa qualquer aplicativo que esteja usando TCP, portanto, não há porta padrão para ele. O mesmo se aplica ao UDP-ANY.

Tabela 7: Aplicativos predefinidos relacionados a IP
Aplicativo	Porta	Descrição
Qualquer	—	Qualquer aplicativo
TCP-ANY	0-65,535	Qualquer protocolo que use o TCP
UDP-ANY	0-65,535	Qualquer protocolo que use o UDP

Entendendo aplicativos de políticas predefinidos de mensagens instantâneas

Ao criar uma política, você pode especificar aplicativos de mensagens instantâneas predefinidos para a política.

A Tabela 8 lista aplicativos predefinidos de mensagens na Internet. Cada entrada inclui o nome do aplicativo, a porta padrão ou atribuída e uma descrição do aplicativo.

Tabela 8: Aplicativos predefinidos de mensagens na Internet
Aplicativo	Porta	Descrição
Gnutella	6346 (padrão)	Gnutella é um protocolo de compartilhamento de arquivos de domínio público que opera em uma rede distribuída. Você pode atribuir qualquer porta, mas o padrão é 6346.
MSN	1863	O Microsoft Network Messages é um serviço público que permite que você envie mensagens instantâneas e fale online.
NNTP	119	Network News Transport Protocol é um protocolo usado para postar, distribuir e recuperar mensagens USENET.
SMB	445	O bloco de mensagens de servidor (SMB) sobre IP é um protocolo que permite que você leia e escreva arquivos em um servidor em uma rede.
YMSG	5010	O Yahoo! O Messages é um serviço público que permite verificar quando outras pessoas estão online, enviar mensagens instantâneas e falar online.

Entendendo os aplicativos de políticas predefinidos de gerenciamento

Ao criar uma política, você pode especificar aplicativos de gerenciamento predefinidos para a política.

A Tabela 9 lista os aplicativos de gerenciamento predefinidos. Cada entrada inclui o nome do aplicativo, a porta padrão ou atribuída e uma descrição do aplicativo.

Tabela 9: Aplicativos de gerenciamento predefinidos
Aplicativo	Porta	Descrição
NBNAME	137	O aplicativo NetBIOS Name exibe todos os pacotes de nome netbios enviados na porta UDP 137.
NDBDS	138	O aplicativo NetBIOS Datagram, publicado pela IBM, oferece aplicativos sem conexão (datagram) para PCs conectados com um meio de transmissão para localizar recursos, iniciar sessões e encerrar sessões. Não é confiável e os pacotes não são sequenciados.
NFS	—	O Network File System usa o UDP para permitir que os usuários de rede acessem arquivos compartilhados armazenados em computadores de diferentes tipos. SUN RPC é um bloco de construção de NFS.
NS Global	—	O NS-Global é o protocolo central de gerenciamento para dispositivos de firewall/VPN da Juniper Networks.
NS Global PRO	—	O NS Global-PRO é o sistema de monitoramento escalável para a família de dispositivos de firewall/VPN da Juniper Networks.
NSM	—	Gerente de rede e segurança
NTP	123	O Protocolo de Tempo de Rede fornece uma maneira de os computadores sincronizarem com uma referência de tempo.
RLOGIN	513	O RLOGIN inicia uma sessão terminal em um host remoto.
RSH	514	O RSH executa um comando shell em um host remoto.
SNMP	161	O protocolo de gerenciamento de rede simples é um conjunto de protocolos para gerenciar redes complexas.
SQL*Net V1	66	SQL*Net Versão 1 é uma linguagem de banco de dados que permite a criação, acesso, modificação e proteção de dados.
SQL*Net V2	66	SQL*Net Versão 2 é uma linguagem de banco de dados que permite a criação, acesso, modificação e proteção de dados.
MSSQL	1433 (instância padrão)	O Microsoft SQL é uma ferramenta de servidor de banco de dados proprietária que permite a criação, acesso, modificação e proteção de dados.
SSH	22	SSH é um programa para fazer login em outro computador por meio de uma rede por meio de autenticação forte e comunicações seguras em um canal não seguro.
SYSLOG	514	O Syslog é um programa UNIX que envia mensagens para o madeireiro do sistema.
Tlk	517-518	Talk é um programa de comunicação visual que copia linhas do terminal para a de outro usuário.
Telnet	23	A Telnet é um programa UNIX que fornece um método padrão de interfacização de dispositivos terminais e processos orientados para terminais entre si.
WinFrame	—	WinFrame é uma tecnologia que permite que usuários em máquinas que não são Windows executem aplicativos Windows.
X-Windows	—	X-Windows é o sistema de janelas e gráficos em que o Motif e o OpenLook se baseiam.

Entendendo os aplicativos de política predefinidos por correio

Ao criar uma política, você pode especificar aplicativos de e-mail predefinidos para a política.

A Tabela 10 lista os aplicativos de e-mail predefinidos. Cada um deles inclui o nome do aplicativo, o número de porta padrão ou atribuído e uma descrição do aplicativo.

Tabela 10: Aplicativos de correio predefinidos
Aplicativo	Porta	Descrição
IMAP	143	O protocolo de acesso a mensagens na Internet é usado para recuperar mensagens.
Correio (SMTP)	25	O protocolo de transferência de correio simples é usado para enviar mensagens entre servidores.
POP3	110	O Protocolo dos Correios é usado para recuperar e-mails.

Entendendo os aplicativos de política predefinidos do UNIX

Ao criar uma política, você pode especificar aplicativos UNIX predefinidos para a política.

A Tabela 11 lista os aplicativos UNIX predefinidos. Cada entrada inclui o nome do aplicativo, a porta padrão ou atribuída e uma descrição do aplicativo.

Tabela 11: Aplicativos UNIX predefinidos
Aplicativo	Porta	Descrição
DEDO	79	O Finger é um programa UNIX que fornece informações sobre os usuários.
UUCP	117	O protocolo de cópia unix para UNIX (UUCP) é um serviço de utilidade UNIX que permite transferências de arquivos entre dois computadores em uma conexão de série ou modem direta.

Entendendo diversos aplicativos de políticas predefinidos

Ao criar uma política, você pode especificar diversos aplicativos predefinidos para a política.

A Tabela 12 lista aplicativos diversos predefinidos. Cada inscrição inclui o nome do aplicativo, a porta padrão ou atribuída e uma descrição do aplicativo.

Tabela 12: Aplicativos miscelâneos predefinidos
Aplicativo	Porta	Descrição
CHARGEN	19	O protocolo gerador de caracteres é uma ferramenta de depuração e medição baseada em UDP ou TCP.
DESCARTAR	9	O protocolo de descarte é um protocolo de Camada de Aplicativo que descreve um processo para descartar dados TCP ou UDP enviados à porta 9.
IDENT	113	Protocolo de identificação é um protocolo de camada de aplicativo TCP/IP usado para autenticação do cliente TCP.
LPR	515 escuta; Intervalo de origem 721-731 (inclusive)	O protocolo Daemon de Impressora de Linha é um protocolo baseado em TCP usado para aplicativos de impressão.
RAIO	1812	O aplicativo de serviço de usuário dial-in de autenticação remota é um programa de servidor usado para fins de autenticação e contabilidade.
Contabilidade RADIUS	1813	Um servidor de contabilidade RADIUS recebe dados estatísticos sobre usuários fazendo login em ou fora de uma LAN.
SQLMON	1434 (porta de monitor SQL)	Monitor SQL (Microsoft)
VNC	5800	A computação de rede virtual facilita a visualização e a interação com outro computador ou dispositivo móvel da Juniper Networks conectado à Internet.
WHOIS	43	O Network Directory Application Protocol é uma maneira de procurar nomes de domínio.
SCCP	2000	O Cisco Station Call Control Protocol (SCCP) usa a porta de controle de conexão de sinalização para fornecer alta disponibilidade e controle de fluxo.

Entendendo os aplicativos de política predefinidos do ICMP

Ao criar uma política, você pode especificar o aplicativo predefinido do ICMP para a política.

O Protocolo de Mensagem de Controle de Internet (ICMP) faz parte do IP e oferece uma maneira de consultar uma rede (mensagens de consulta do ICMP) e receber feedback da rede para padrões de erro (mensagens de erro do ICMP). O ICMP não garante, no entanto, a entrega de mensagens de erro ou reporta todos os datagramas perdidos; e não é um protocolo confiável. Os códigos e códigos de tipo do ICMP descrevem mensagens de consulta do ICMP e mensagens de erro do ICMP.

Você pode optar por permitir ou negar qualquer tipo ou tipo específico de mensagens de ICMP para melhorar a segurança da rede. Alguns tipos de mensagens de ICMP podem ser explorados para obter informações sobre sua rede que possam comprometer a segurança. Por exemplo, pacotes de ICMP, TCP ou UDP podem ser construídos para devolver mensagens de erro de ICMP que contêm informações sobre uma rede, como sua topologia e características de filtragem de lista de acesso. A Tabela 13 lista nomes de mensagens do ICMP, o código, o tipo e a descrição correspondentes.

Tabela 13: Mensagens ICMP
Nome da mensagem do ICMP	Tipo	Código	Descrição
ICMP-ANY	Todos	Todos	O ICMP-ANY afeta qualquer protocolo que use o ICMP. Negar o ICMP-ANY prejudica qualquer tentativa de ping ou monitorar uma rede usando ICMP. Permitir o ICMP-ANY permite que todas as mensagens ICMP.
MÁSCARA DE ENDEREÇO ICMP Solicitação Resposta	17 18	0 0	A consulta de máscara de endereço ICMP é usada para sistemas que precisam da máscara de sub-rede local de um servidor bootstrap. Negar mensagens de solicitação de máscara de endereço ICMP pode afetar negativamente os sistemas sem disco. Permitir mensagens de solicitação de máscara de endereço ICMP pode permitir que outras pessoas façam impressões digitais no sistema operacional de um host em sua rede.
ICMP-DEST-UNREACH	3	0	A mensagem de erro inalcançável de destino do ICMP indica que o host de destino está configurado para rejeitar os pacotes. Os códigos 0, 1, 4 ou 5 podem ser de um gateway. Os códigos 2 ou 3 podem ser de um host (RFC 792). Negar mensagens de erro inalcançáveis ao destino do ICMP pode remover a suposição de que um host está funcionando atrás de um firewall da Série SRX. Permitir que mensagens de erro inalcançáveis no destino do ICMP possam permitir que algumas suposições, como a filtragem de segurança, sejam feitas sobre a rede.
Fragmento de ICMP necessário	3	4	A mensagem de erro de fragmentação do ICMP indica que a fragmentação é necessária, mas a bandeira de não fragmentação é definida. Recomendamos negar essas mensagens da Internet a uma rede interna.
Remontagem de fragmentos do ICMP	11	1	O erro excedido do tempo de remontagem do fragmento do ICMP indica que um host remontando uma mensagem fragmentada ficou sem tempo e deixou cair o pacote. Essa mensagem às vezes é enviada. Recomendamos negar essas mensagens da Internet (externa) à rede confiável (interna).
ICMP-HOST-UNREACH	3	1	As mensagens de erro inalcançáveis do host do ICMP indicam que as entradas da tabela de roteamento não listam ou listam como um host específico. Às vezes, esse erro é enviado por gateways que não podem se fragmentar quando um pacote que exige fragmentação é recebido. Recomendamos negar essas mensagens da Internet a uma rede confiável. Permitir que essas mensagens permitam que outras pessoas possam determinar seus endereços IP de hosts internos por um processo de eliminação ou fazer suposições sobre gateways e fragmentação.
ICMP-INFO Solicitação Resposta	15 16	0 0	As mensagens de consulta do ICMP-INFO permitem que sistemas de host sem disco façam consultas à rede e se auto-configurem. Negar mensagens de solicitação de máscara de endereço ICMP pode afetar negativamente os sistemas sem disco. Permitir mensagens de solicitação de máscara de endereço ICMP pode permitir que outras pessoas transmitam consultas de informações a um segmento de rede para determinar o tipo de computador.
PROBLEMA DE PARÂMETRO DO ICMP	12	0	As mensagens de erro do problema do parâmetro ICMP notificam você quando parâmetros de cabeçalho incorretos estão presentes e fizeram com que um pacote fosse descartado Recomendamos negar essas mensagens da Internet a uma rede confiável. Permitir mensagens de erro de problema de parâmetro do ICMP permite que outras pessoas façam suposições sobre sua rede.
ICMP-PORT-UNREACH	3	3	As mensagens de erro inalcançáveis da porta ICMP indicam que os gateways que processam datagramas solicitando determinadas portas estão indisponíveis ou não suportados na rede. Recomendamos negar essas mensagens da Internet a uma rede confiável. Permitir a porta do ICMP a mensagens de erro inalcançáveis pode permitir que outras pessoas determinem quais portas você usa para determinados protocolos.
ICMP-PROTOCOL-UNREACH	3	2	As mensagens de erro inalcançáveis do protocolo ICMP indicam que os gateways que processam datagramas solicitando determinados protocolos estão indisponíveis ou não suportados na rede. Recomendamos negar essas mensagens da Internet a uma rede confiável. Permitir que as mensagens de erro inalcançáveis do protocolo ICMP possam permitir que outras pessoas determinem quais protocolos sua rede está executando.
REDIRECIONAMENTO DO ICMP	5	0	As mensagens de erro de redirecionamento do ICMP são enviadas por um firewall da Série SRX. Recomendamos negar essas mensagens da Internet a uma rede confiável.
ICMP-REDIRECT-HOST	5	1	As mensagens de redirecionamento do ICMP indicam que os datagramas destinados ao host especificado serão enviados por outro caminho.
ICMP-REDIRECIONE PARA O HOST	5	3	O tipo de serviço de redirecionamento do ICMP (TOS) e o erro do host são um tipo de mensagem.
ICMP-REDIRECIONE PARA A REDE	5	2	O redirecionamento do ICMP para a TOS e o erro da rede é um tipo de mensagem.
ICMP-SOURCE-QUENCH	4	0	A mensagem de erro de detecção de fonte do ICMP indica que um dispositivo não tem o espaço buffer disponível para aceitar, fazer fila e enviar os pacotes para o próximo salto. Negar essas mensagens não ajudará ou prejudicará o desempenho da rede interna. Permitir essas mensagens pode permitir que outras pessoas saibam que um dispositivo está congestionado, tornando-o um alvo de ataque viável.
ICMP-SOURCE-ROUTE-FAIL	3	5	Mensagem de erro com falha na rota de origem do ICMP Recomendamos negar essas mensagens da Internet (externas).
TEMPO DE ICMP EXCEDIDO	11	0	A mensagem de erro excededa no tempo de vida (TTL) do ICMP indica que a configuração de TTL de um pacote atingiu zero antes do pacote chegar ao seu destino. Isso garante que os pacotes mais antigos sejam descartados antes que os ressentem dos processados. Recomendamos negar essas mensagens de uma rede confiável para a Internet.
ICMP-TIMESTAMP Solicitação Resposta	13 14	0 0	As mensagens de consulta do ICMP-TIMESTAMP fornecem o mecanismo para sincronizar o tempo e coordenar a distribuição de tempo em uma rede grande e diversificada.
Ping (ICMP ECHO)	8	0	Ping é um serviço público para determinar se um host específico é acessível por seu endereço IP. Negar a funcionalidade de ping remove sua capacidade de verificar se um host está ativo. Permitir o ping pode permitir que outros executem um ataque de negação de serviço (DoS) ou Desserviante.
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE	11	1	A mensagem de erro de tempo de repetição do tempo de remontagem do fragmento do ICMP indica que o tempo de remontagem foi excedido. Recomendamos negar essas mensagens.
Traceroute Frente Descartar	30 30	0 1	Traceroute é um utilitário que indica o caminho para acessar um host específico. Recomendamos negar esse serviço da Internet (externo) à sua rede confiável (interna).

Comportamento padrão de erros inalcançáveis do ICMP

Para diferentes níveis de segurança, o comportamento padrão para erros inalcançáveis do ICMP é tratado da seguinte forma:

As sessões são fechadas para mensagens de código ICMP tipo 3, código 0, código 1, código 2 e código 3 somente quando as seguintes condições forem atendidas:
- A mensagem inalcançável do ICMP é recebida na direção do servidor para o cliente.
- Nenhum pacote normal é recebido na direção de servidor para cliente.
Caso contrário, as sessões não fecham.
As sessões não fecham para mensagens de código ICMP tipo 3 e 4.

Exemplo: definir um aplicativo ICMP personalizado

Este exemplo mostra como definir um aplicativo ICMP personalizado.

Requisitos
Visão geral
Configuração
Verificação

Requisitos

Antes de começar:

Entenda o aplicativo de políticas personalizadas. Veja a compreensão de aplicativos de políticas personalizadas.
Entenda o aplicativo de política predefinido do ICMP. Veja como entender os aplicativos de política predefinidos do ICMP.

Visão geral

O Junos OS oferece suporte ao ICMP — bem como várias mensagens de ICMP — como aplicativos predefinidos ou personalizados. Ao configurar um aplicativo ICMP personalizado, você define um tipo e um código.

Existem diferentes tipos de mensagem dentro do ICMP. Por exemplo:
- tipo 0 = Mensagem de solicitação do Echo
- tipo 3 = Mensagem de destino inalcançável

Um tipo de mensagem de ICMP também pode ter um código de mensagem. O código fornece informações mais específicas sobre a mensagem, conforme mostrado na Tabela 14.

Tabela 14: Descrições da mensagem
Tipo de mensagem	Código de mensagem
5 = Redirecionamento	0 = Redirecionar datagrama para a rede (ou sub-rede)
	1 = Redirecionar datagrama para o host
	2 = Redirecionar datagrama para o tipo de aplicativo e rede
	3 = Redirecionar datagrama para o tipo de aplicativo e host
11 = Códigos excedidos por tempo	0 = Tempo de vida excedido em trânsito
	1 = Tempo de remontagem de fragmentos excedido

O Junos OS oferece suporte a qualquer tipo ou código dentro do intervalo de 0 até 55 .

Neste exemplo, você define um aplicativo personalizado chamado host-inalcançável usando o ICMP como protocolo de transporte. O tipo é 3 (para destino inalcançável) e o código é 1 (para host inalcançável). Você define o valor do tempo limite em 4 minutos.

Nota:

Para obter mais informações sobre tipos e códigos de ICMP, consulte RFC 792, Protocolo de mensagem de controle de Internet.

Configuração

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para definir um aplicativo ICMP personalizado:

Defina o tipo e o código do aplicativo.

Defina o valor do tempo de inatividade.

Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show applications comando.

NESTA PÁGINA