Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

适用于逻辑系统的 ALG

逻辑系统中的应用层网关 (ALG) 使网关能够分析应用层有效负载,并做出是允许还是拒绝流向应用服务器的流量的决策。ALG 支持传输协议 (FTP) 等应用程序和各种 IP 协议,这些协议使用应用程序层有效负载来通信应用程序打开数据连接的动态传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口。有关更多信息,请参阅以下主题:

了解逻辑系统中的应用程序层网关 (ALG)

主管理员可以在根级别配置 ALG。该配置由所有用户逻辑系统继承。也可以为用户逻辑系统单独配置 ALG。ALG 状态并非由所有用户逻辑系统继承。对于新创建的逻辑系统,ALG 包含默认状态。可以为特定逻辑系统启用或禁用 FTP 协议 ALG。ICMP ALG 协议默认启用,不会配置为禁用。

注意:

将 SRX 系列防火墙升级到 18.2 版本时,逻辑系统中的 ALG 状态会与先前状态相比发生变化。此更改会影响逻辑系统中的 ALG 流量。例如,在升级之前,H.323 ALG 配置为按 root 启用。因此,在 lsys1 中也启用了 H.323 ALG。升级到 18.2 后,lsys1 中的 H.323 ALG 状态将禁用,因为对于新逻辑系统,H.323 的默认状态处于禁用状态。

注意:

您只能为一个特定逻辑系统启用特定的 ALG。

默认情况下,根逻辑系统上会启用以下 ALG:

  • Dns

  • Ftp

  • MSRPC

  • PPTP

  • SUNRPC

  • 说话

  • Tftp

从 Junos OS 18.2R1 版开始,您可以分别为每个逻辑系统启用或禁用 ALG 配置,并查看所有逻辑系统或特定逻辑系统的 ALG 状态。逻辑系统上支持所有 12 个数据 ALG(DNS、FTP、TFTP、MSRPC、SUNRPC、PPTP、RSH、RTSP、TALK、SQL、IKE 和 TWAMP)和 4 个 VOIP ALG(SIP、H.323、MGCP 和 SCCP)。

为逻辑系统启用和禁用 ALG

本主题介绍如何启用或禁用每个逻辑系统的 ALG 状态。

  1. 默认情况下,逻辑系统上禁用 IKE ALG。要启用此 ALG,请使用以下命令。
    • 通过 NAT 启用 IKE 和 ESP ALG。

  2. 默认情况下,逻辑系统上会启用 DNS、FTP、PPTP、SIP、SUNRPC 和 TWAMP ALG。要禁用这些 ALG,请使用以下命令。
    • 禁用 DNS ALG。

    • 禁用 FTP ALG。

    • 禁用 H323 ALG。

    • 禁用 MGCP ALG。

    • 禁用 MSRPC ALG。

    • 禁用 PPTP ALG。

    • 禁用 RSH ALG。

    • 禁用 RTSP ALG。

    • 禁用 SCCP ALG。

    • 禁用 SIP ALG。

    • 禁用 SQL ALG。

    • 禁用 SUNRPC ALG。

    • 禁用 TALK ALG。

    • 禁用 TFTP ALG。

  3. 在逻辑系统中配置 ALG 功能。
    • 配置 DNS ALG。

    • 配置 FTP ALG。

    • 配置 H323 ALG。

    • 使用 NAT 配置 IKE 和 ESP ALG。

    • 配置 MGCP ALG。

    • 配置 MSRPC ALG。

    • 配置 PPTP ALG。

    • 配置 RSH ALG。

    • 配置 RTSP ALG。

    • 配置 SCCP ALG。

    • 配置 SIP ALG。

    • 配置 SQL ALG。

    • 配置 SUNRPC ALG。

    • 配置 TALK ALG。

    • 配置 TFTP ALG。

    • 配置 TWAMP ALG。

    • 为 FTP ALG 配置扩展功能。

    • 为 MSRPC ALG 配置扩展功能。

    • 为 SUNRPC ALG 配置扩展功能。

    • 为 SIP ALG 配置扩展功能。

示例:在逻辑系统中启用 FTP ALG

此示例说明如何在逻辑系统中启用或禁用 FTP ALG 配置,并根据逻辑系统的 FTP ALG 配置分别发送流量。

要求

开始之前:

概述

在此示例中,FTP 的 ALG 配置为监控和允许客户端与逻辑系统上的服务器之间交换 FTP 流量。

默认情况下,在逻辑系统上启用 FTP ALG。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

在逻辑系统中配置 FTP ALG

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

在用户逻辑系统中配置 ALG:

  1. 配置安全配置文件。

  2. 配置主逻辑系统。

    逐步过程
    1. 创建主逻辑系统

    2. 为主逻辑系统配置接口,并配置到 LSYS0 的逻辑隧道接口和路由实例。

    3. 配置安全配置文件 p1 并将其分配给根逻辑系统 LSYS0。

  3. 配置用户逻辑系统。

    逐步过程

    1. 创建用户逻辑系统 LSYS1

    2. 配置用户逻辑和逻辑隧道接口,以在逻辑系统中传输流量。

    3. 将安全配置文件 p1 分配给 LSYS1。

    4. 配置安全区域并将接口分配给每个区域。

  4. 配置安全策略,以允许来自LSYS1_tzone的 FTP 流量LSYS1_utzone。

结果

在配置模式下,输入来确认 LSYS0 和 LSYS1 的配置 show logical-systems。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证用户逻辑系统的 ALG 状态

目的

验证 FTP 的 ALG 状态是否已启用。

行动

要验证配置是否工作正常,请输入 show security alg status logical-system LSYS1 命令。

意义

输出显示逻辑系统 LSYS1 的 FTP 已启用状态。

验证所有逻辑系统的 ALG 状态

目的

验证设备上所有逻辑系统的 ALG 状态。

行动

要验证配置是否工作正常,请输入 show security alg status logical-system all 命令。

意义

输出显示设备上所有逻辑系统的 ALG 状态。

验证逻辑系统上的逻辑系统内流量

目的

验证有关通过资源管理器创建的活动资源、客户端、组和会话的信息。

行动

在操作模式下,输入 show security resource-manager summary 命令。

意义

输出显示有关通过资源管理器创建的活动资源、客户端、组和会话的摘要信息。