适用于逻辑系统的 ALG
逻辑系统中的应用层网关 (ALG) 使网关能够分析应用层有效负载,并做出是允许还是拒绝流向应用服务器的流量的决策。ALG 支持传输协议 (FTP) 等应用程序和各种 IP 协议,这些协议使用应用程序层有效负载来通信应用程序打开数据连接的动态传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口。有关更多信息,请参阅以下主题:
了解逻辑系统中的应用程序层网关 (ALG)
主管理员可以在根级别配置 ALG。该配置由所有用户逻辑系统继承。也可以为用户逻辑系统单独配置 ALG。ALG 状态并非由所有用户逻辑系统继承。对于新创建的逻辑系统,ALG 包含默认状态。可以为特定逻辑系统启用或禁用 FTP 协议 ALG。ICMP ALG 协议默认启用,不会配置为禁用。
将 SRX 系列防火墙升级到 18.2 版本时,逻辑系统中的 ALG 状态会与先前状态相比发生变化。此更改会影响逻辑系统中的 ALG 流量。例如,在升级之前,H.323 ALG 配置为按 root 启用。因此,在 lsys1 中也启用了 H.323 ALG。升级到 18.2 后,lsys1 中的 H.323 ALG 状态将禁用,因为对于新逻辑系统,H.323 的默认状态处于禁用状态。
您只能为一个特定逻辑系统启用特定的 ALG。
默认情况下,根逻辑系统上会启用以下 ALG:
Dns
Ftp
MSRPC
PPTP
SUNRPC
说话
Tftp
从 Junos OS 18.2R1 版开始,您可以分别为每个逻辑系统启用或禁用 ALG 配置,并查看所有逻辑系统或特定逻辑系统的 ALG 状态。逻辑系统上支持所有 12 个数据 ALG(DNS、FTP、TFTP、MSRPC、SUNRPC、PPTP、RSH、RTSP、TALK、SQL、IKE 和 TWAMP)和 4 个 VOIP ALG(SIP、H.323、MGCP 和 SCCP)。
另请参阅
为逻辑系统启用和禁用 ALG
本主题介绍如何启用或禁用每个逻辑系统的 ALG 状态。
示例:在逻辑系统中启用 FTP ALG
此示例说明如何在逻辑系统中启用或禁用 FTP ALG 配置,并根据逻辑系统的 FTP ALG 配置分别发送流量。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
概述
在此示例中,FTP 的 ALG 配置为监控和允许客户端与逻辑系统上的服务器之间交换 FTP 流量。
默认情况下,在逻辑系统上启用 FTP ALG。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 routing-instances vr0 instance-type vpls set logical-systems LSYS0 routing-instances vr0 interface lt-0/0/0.0 set system security-profile p1 logical-system LSYS0 set system security-profile p1 logical-system LSYS1 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 0 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 10.0.0.0/8 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet address 198.51.100.0/24 set logical-systems LSYS1 interfaces ge-0/0/1 unit 0 family inet address 203.0.113.0/24 set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_tzone interfaces ge-0/0/0 set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_utzone interfaces ge-0/0/1 set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit set logical-systems LSYS1 security policies default-policy deny-all
在逻辑系统中配置 FTP ALG
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
在用户逻辑系统中配置 ALG:
配置安全配置文件。
[edit system security-profile] user@host#set p1 policy maximum 100 user@host#set p1 policy reserved 50 user@host#set p1 zone maximum 100 user@host#set p1 zone reserved 50 user@host#set p1 flow-session maximum 6291456 user@host#set p1 flow-session reserved 50 user@host#set p1 flow-gate maximum 524288 user@host#set p1 flow-gate reserved 50
配置主逻辑系统。
逐步过程
创建主逻辑系统
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1
为主逻辑系统配置接口,并配置到 LSYS0 的逻辑隧道接口和路由实例。
[edit interfaces] user@host#set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host#set lt-0/0/0 unit 0 peer-unit 1 user@host#set routing-instances vr0 instance-type vpls user@host#set routing-instances vr0 interface lt-0/0/0.0
配置安全配置文件 p1 并将其分配给根逻辑系统 LSYS0。
[edit system security-profile] user@host#set p1 logical-system LSYS0
配置用户逻辑系统。
逐步过程
创建用户逻辑系统 LSYS1
[edit logical-systems] user@host#set LSYS1
配置用户逻辑和逻辑隧道接口,以在逻辑系统中传输流量。
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 198.51.100.0/24 user@host#set ge-0/0/1 unit 0 family inet address 203.0.113.0/24 user@host#set lt-0/0/0 unit 1 encapsulation ethernet user@host#set lt-0/0/0 unit 1 peer-unit 0 user@host#set lt-0/0/0 unit 1 family inet address 10.0.0.0/8
将安全配置文件 p1 分配给 LSYS1。
[edit system security-profile] user@host#set p1 logical-system LSYS1
配置安全区域并将接口分配给每个区域。
[edit security zones] user@host#set security-zone LSYS1_tzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_tzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_tzone interfaces ge-0/0/0 user@host#set security-zone LSYS1_utzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_utzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_utzone interfaces ge-0/0/1
配置安全策略,以允许来自LSYS1_tzone的 FTP 流量LSYS1_utzone。
[edit security policies] user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit user@host#set default-policy deny-all
结果
在配置模式下,输入来确认 LSYS0 和 LSYS1 的配置 show logical-systems
。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
user@host#show logical-systems LSYS0 interfaces { lt-0/0/0 { unit 0 { encapsulation ethernet-vpls; peer-unit 1; } unit 2 { encapsulation ethernet-vpls; peer-unit 3; } } } routing-instances { vr0 { instance-type vpls; interface lt-0/0/0.0; interface lt-0/0/0.2; } }
user@host#show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 0; family inet { address 10.0.1.1/24; } } } reth0 { unit 0 { family inet { address 198.51.100.0/24; } } } } security { alg{ ftp; } policies { from-zone LSYS1_tzone to-zone LSYS1_utzone { policy P11 { match { source-address any; destination-address any; application [ junos-ping junos-ftp ]; } then { permit; } } } default-policy { deny-all; } } zones { security-zone LSYS1_tzone { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone LSYS1_utzone { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.1; } } } }
完成设备配置后,请从配置模式进入 commit
。
验证
要确认配置工作正常,请执行以下任务:
验证用户逻辑系统的 ALG 状态
目的
验证 FTP 的 ALG 状态是否已启用。
行动
要验证配置是否工作正常,请输入 show security alg status logical-system LSYS1
命令。
user@host> show security alg status logical-system LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
意义
输出显示逻辑系统 LSYS1 的 FTP 已启用状态。
验证所有逻辑系统的 ALG 状态
目的
验证设备上所有逻辑系统的 ALG 状态。
行动
要验证配置是否工作正常,请输入 show security alg status logical-system all
命令。
user@host> show security alg status logical-system all
Logical system: root-logical-system
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS3
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS2
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS0
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
意义
输出显示设备上所有逻辑系统的 ALG 状态。
验证逻辑系统上的逻辑系统内流量
目的
验证有关通过资源管理器创建的活动资源、客户端、组和会话的信息。
行动
在操作模式下,输入 show security resource-manager summary
命令。
user@host> show security resource-manager summary
Active resource-manager clients : 16
Active resource-manager groups : 3
Active resource-manager resources : 26
Active resource-manager sessions : 4
意义
输出显示有关通过资源管理器创建的活动资源、客户端、组和会话的摘要信息。