逻辑系统 ALG
逻辑系统中的应用层网关 (ALG) 使网关能够解析应用层有效负载,并决定是允许还是拒绝向应用服务器传输流量。ALG 支持传输协议 (FTP) 等应用和各种 IP 协议,这些协议使用应用层有效负载与动态传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口进行通信,应用程序在其上打开数据连接。有关更多信息,请参阅以下主题:
了解逻辑系统中的应用层网关 (ALG)
主管理员可以在根级别配置 ALG。所有用户逻辑系统都会继承该配置。也可以为用户逻辑系统离散配置 ALG。并非所有用户逻辑系统都会继承 ALG 状态。对于新创建的逻辑系统,ALG 由默认状态组成。可以为特定逻辑系统启用或禁用 FTP 协议 ALG。默认情况下,ICMP ALG 协议处于启用状态,不会配置为禁用。
注意:
将 SRX 系列防火墙升级到 18.2 版本时,逻辑系统中的 ALG 状态与之前的状态相比会发生变化。此更改会影响逻辑系统中的 ALG 流量。例如,在升级之前,H.323 ALG 配置为由 root 启用。因此,h.323 ALG 也在 lsys1 中启用。升级到 18.2 后,lsys1 中的 H.323 ALG 状态将被禁用,因为 H.323 的默认状态对于新逻辑系统为禁用。
注意:
您只能为一个特定的逻辑系统启用特定的 ALG。
默认情况下,在根逻辑系统上启用以下 ALG:
DNS
FTP
建议零售价
PPTP
SUNRPC
谈话
TFTP
从 Junos OS 18.2R1 版开始,您可以单独启用或禁用每个逻辑系统的 ALG 配置,并查看所有逻辑系统或特定逻辑系统的 ALG 状态。逻辑系统支持所有 12 个数据 ALG(DNS、FTP、TFTP、MSRPC、SUNRPC、PPTP、RSH、RTSP、TALK、SQL、IKE 和 TWAMP)和 4 个 VOIP ALG(SIP、H.323、MGCP 和 SCCP)。
也可以看看
启用和禁用逻辑系统的 ALG
本主题介绍如何启用或禁用每个逻辑系统的 ALG 状态。
示例:在逻辑系统中启用 FTP ALG
此示例说明如何在逻辑系统中启用或禁用 FTP ALG 配置,并根据逻辑系统的 FTP ALG 配置单独发送流量。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
概述
在此示例中,用于 FTP 的 ALG 配置为监控并允许在逻辑系统上的客户端和服务器之间交换 FTP 流量。
默认情况下,FTP ALG 在逻辑系统上启用。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 routing-instances vr0 instance-type vpls set logical-systems LSYS0 routing-instances vr0 interface lt-0/0/0.0 set system security-profile p1 logical-system LSYS0 set system security-profile p1 logical-system LSYS1 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 0 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 10.0.0.0/8 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet address 198.51.100.0/24 set logical-systems LSYS1 interfaces ge-0/0/1 unit 0 family inet address 203.0.113.0/24 set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_tzone interfaces ge-0/0/0 set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_utzone interfaces ge-0/0/1 set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit set logical-systems LSYS1 security policies default-policy deny-all
在逻辑系统中配置 FTP ALG
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要在用户逻辑系统中配置 ALG:
配置安全配置文件。
[edit system security-profile] user@host#set p1 policy maximum 100 user@host#set p1 policy reserved 50 user@host#set p1 zone maximum 100 user@host#set p1 zone reserved 50 user@host#set p1 flow-session maximum 6291456 user@host#set p1 flow-session reserved 50 user@host#set p1 flow-gate maximum 524288 user@host#set p1 flow-gate reserved 50
配置主逻辑系统。
分步程序
创建主逻辑系统
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1
为主逻辑系统配置接口,并将逻辑隧道接口和路由实例配置到 LSYS0。
[edit interfaces] user@host#set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host#set lt-0/0/0 unit 0 peer-unit 1 user@host#set routing-instances vr0 instance-type vpls user@host#set routing-instances vr0 interface lt-0/0/0.0
配置安全配置文件 p1 并将其分配给根逻辑系统 LSYS0。
[edit system security-profile] user@host#set p1 logical-system LSYS0
配置用户逻辑系统。
分步程序
创建用户逻辑系统 LSYS1
[edit logical-systems] user@host#set LSYS1
配置用户逻辑和逻辑隧道接口,以便在逻辑系统内传输流量。
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 198.51.100.0/24 user@host#set ge-0/0/1 unit 0 family inet address 203.0.113.0/24 user@host#set lt-0/0/0 unit 1 encapsulation ethernet user@host#set lt-0/0/0 unit 1 peer-unit 0 user@host#set lt-0/0/0 unit 1 family inet address 10.0.0.0/8
将安全配置文件 p1 分配给 LSYS1。
[edit system security-profile] user@host#set p1 logical-system LSYS1
配置安全区域并为每个区域分配接口。
[edit security zones] user@host#set security-zone LSYS1_tzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_tzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_tzone interfaces ge-0/0/0 user@host#set security-zone LSYS1_utzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_utzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_utzone interfaces ge-0/0/1
配置允许从 LSYS1_tzone 到 LSYS1_utzone 的 FTP 流量的安全策略。
[edit security policies] user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit user@host#set default-policy deny-all
结果
在配置模式下,输入 show logical-systems以确认 LSYS0 和 LSYS1 的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
user@host#show logical-systems LSYS0
interfaces {
lt-0/0/0 {
unit 0 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 2 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
}
routing-instances {
vr0 {
instance-type vpls;
interface lt-0/0/0.0;
interface lt-0/0/0.2;
}
}
user@host#show logical-systems LSYS1
interfaces {
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 10.0.1.1/24;
}
}
}
reth0 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
}
security {
alg{
ftp;
}
policies {
from-zone LSYS1_tzone to-zone LSYS1_utzone {
policy P11 {
match {
source-address any;
destination-address any;
application [ junos-ping junos-ftp ];
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LSYS1_tzone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone LSYS1_utzone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证用户逻辑系统的 ALG 状态
目的
验证 FTP 的 alg 状态是否已启用。
行动
要验证配置是否工作正常,请输入 show security alg status logical-system LSYS1 命令。
user@host> show security alg status logical-system LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled意义
输出显示逻辑系统 LSYS1 的 FTP 已启用的 alg 状态。
验证所有逻辑系统的 ALG 状态
目的
验证设备上所有逻辑系统的 ALG 状态。
行动
要验证配置是否工作正常,请输入 show security alg status logical-system all 命令。
user@host> show security alg status logical-system all
Logical system: root-logical-system
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS3
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS2
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS0
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
意义
输出显示设备上所有逻辑系统的 ALG 状态。
验证逻辑系统上的逻辑系统内流量
目的
验证有关通过资源管理器创建的活动资源、客户端、组和会话的信息。
行动
在作模式下,输入命令 show security resource-manager summary 。
user@host> show security resource-manager summary
Active resource-manager clients : 16
Active resource-manager groups : 3
Active resource-manager resources : 26
Active resource-manager sessions : 4
意义
输出显示有关通过资源管理器创建的活动资源、客户端、组和会话的摘要信息。