AUF DIESER SEITE
RPC-ALG
Der Remote Procedure Call (RPC) ALG verwendet für die Portzuordnung bekannte Ports TCP 111 und UDP 111, die Ports dynamisch für RPC-Services zuweisen und öffnen. Die RPC-Portmap-ALG verfolgt Portanfragen und öffnet dynamisch die Firewall für diese angeforderten Ports. Das RPC-ALG kann das RPC-Protokoll weiter einschränken, indem die zulässigen Programmnummern angegeben werden.
Grundlegendes zu RPC-ALGs
Junos OS unterstützt grundlegende Remote Procedure Call Layer Gateway (RPC ALG)-Services. RPC ist ein Protokoll, mit dem eine Anwendung, die in einem Adressraum ausgeführt wird, auf die Ressourcen von Anwendungen zugreifen kann, die in einem anderen Adressraum ausgeführt werden, als ob die Ressourcen lokal im ersten Adressraum wären. Die RPC-ALG ist für die RPC-Paketverarbeitung verantwortlich.
Die RPC-ALG in Junos OS unterstützt die folgenden Services und Funktionen:
Sun Microsystems RPC Open Network Computing (ONC)
Microsoft RPC Distributed Computing Environment (DCE)
Dynamische Port-Aushandlung
Möglichkeit, bestimmte RPC-Services zuzulassen und zu verweigern
Static Network Address Translation (NAT) und Quell-NAT (ohne Portübersetzung)
RPC-Anwendungen in Sicherheitsrichtlinien
Verwenden Sie die RPC-ALG, wenn Sie RPC-basierte Anwendungen wie NFS oder Microsoft Outlook ausführen müssen. Die RPC-ALG-Funktionalität ist standardmäßig aktiviert.
Grundlegendes zu Sun RPC ALGs
Sun RPC (Sun RPC) – auch open Network Computing Remote Procedure Call (ONC RPC) genannt – bietet eine Möglichkeit für ein Programm, das auf einem Host ausgeführt wird, um Prozeduren in einem Programm auf einem anderen Host aufzurufen. Aufgrund der großen Anzahl von RPC-Services und der Notwendigkeit, zu übertragen, wird die Transportadresse eines RPC-Diensts dynamisch basierend auf der Programm- und Versionsnummer des Diensts ausgehandelt. Für die Zuordnung der RPC-Programm- und Versionsnummer zu einer Transportadresse werden mehrere Bindungsprotokolle definiert.
Junos OS unterstützt Sun RPC als vordefinierten Service und erlaubt und verweigert Datenverkehr basierend auf einer von Ihnen konfigurierten Sicherheitsrichtlinie. Das Application Layer Gateway (ALG) bietet die Funktionen für Geräte von Juniper Networks, um den dynamischen Übertragungsadressen-Aushandlungsmechanismus des Sun RPC zu bewältigen und eine programmnummernbasierte Durchsetzung von Sicherheitsrichtlinien zu gewährleisten. Sie können eine Sicherheitsrichtlinie definieren, um alle RPC-Anforderungen zuzulassen oder zu verweigern oder nach einer bestimmten Programmnummer zuzulassen oder zu verweigern. Die ALG unterstützt auch den Routenmodus und den Network Address Translation (NAT)-Modus für eingehende und ausgehende Anfragen.
Wenn eine Anwendung oder ein PC-Client einen Remote-Service aufruft, muss er die Transportadresse des Diensts finden. Im Fall von TCP/UDP ist die Adresse eine Portnummer. Ein typisches Verfahren für diesen Fall ist wie folgt:
Der Client sendet die GETPORT-Nachricht an den RPCBIND-Dienst auf dem Remotecomputer. Die GETPORT-Nachricht enthält die Programmnummer sowie die Version- und Prozedurnummer des Remotedienstes, den er aufrufen möchte.
Der RPCBIND-Dienst antwortet mit einer Portnummer.
Der Client ruft den Remote-Service unter Verwendung der zurückgegebenen Portnummer auf.
Der Remotedienst antwortet dem Client.
Ein Client kann die CALLIT-Nachricht auch verwenden, um den Remote-Service direkt anzurufen, ohne die Portnummer des Dienstes zu bestimmen. In diesem Fall ist das Verfahren wie folgt:
Der Client sendet eine CALLIT-Nachricht an den RPCBIND-Dienst auf dem Remotecomputer. Die CALLIT-Nachricht enthält die Programmnummer und die Version- und Prozedurnummer des Remote-Dienstes, den er aufrufen möchte.
RPCBIND ruft den Dienst für den Client auf.
RCPBIND antwortet dem Client, wenn der Anruf erfolgreich war. Die Antwort enthält das Anrufergebnis und die Portnummer des Dienstes.
Das Sun RPC-ALG weist dynamisch neue Zuordnungseinträge zu, anstatt eine Standardgröße (512 Einträge) zu verwenden. Es bietet auch einen flexiblen zeitbasierten RPC-Zuordnungseintrag, der den Zuordnungseintrag entfernt (automatisch bereinigen), ohne die zugehörigen aktiven RPC-Sitzungen, einschließlich der Steuer- und Datensitzung, zu beeinträchtigen.
Ab Junos OS 15.1X49-D10 und Junos OS Version 17.3R1 können Sie den Wert für die Sun RPC-Zuordnung des Eintrittsalters festlegen. Verwenden Sie den set security alg sunrpc map-entry-timeout value Befehl. Der Ageout-Wert liegt zwischen 1 Stunde und 72 Stunden, der Standardwert ist 32 Stunden. Wenn der Sun RPC ALG-Dienst die Steuerungsaushandlung auch nach 72 Stunden nicht auslöst, ist die maximale Anzahl der RPC-ALG-Zuordnungs-Eingabewerte zeitlos und die neue Datenverbindung zum Dienst schlägt fehl.
Aktivieren von Sun RPC-ALGs
Das Sun RPC-ALG ist standardmäßig aktiviert und erfordert keine Konfiguration.
Aktivieren von Sun RPC ALGs (CLI-Prozedur)
Geben Sie den folgenden Befehl ein, um die Sun RPC-ALG zu deaktivieren:
user@host# set security alg sunrpc disable
Geben Sie den folgenden Befehl ein, um die Sun RPC-ALG erneut zu aktivieren:
user@host# delete security alg sunrpc
Anpassen von Sun RPC-Anwendungen (CLI-Prozedur)
Alle Sun RPC-Anwendungen können mithilfe eines vordefinierten Anwendungssatzes angepasst werden.
Beispielsweise kann eine Anwendung so angepasst werden, dass sie nur die Steuerungssitzung öffnet und keine Datensitzungen zulässt:
application-set junos-sun-rpc {
application junos-sun-rpc-tcp;
application junos-sun-rpc-udp;
}
Im folgenden Beispiel erlaubt der vordefinierte Anwendungssatz nur Datensitzungen. Es funktioniert nicht ohne die Steuerungssitzung:
application-set junos-sun-rpc-portmap {
application junos-sun-rpc-portmap-tcp;
application junos-sun-rpc-portmap-udp;
}
Um alle Sun RPC-Anwendungen mit vordefinierten Anwendungssätzen anzupassen, verwenden Sie beide Anwendungssätze in der Richtlinie:
application-set [junos-sun-rpc junos-sun-rpc-portmap]
MS RPC-Anwendungen werden auf die gleiche Weise wie Sun RPC-Anwendungen angepasst.
Grundlegendes zu Sun RPC-Services
Sun RPC, auch bekannt als Open Network Computing Remote Procedure Call (ONC RPC), bietet eine Möglichkeit für ein Programm, das auf einem Host ausgeführt wird, Prozeduren in einem Programm auf einem anderen Host aufzurufen. Sun RPC-Services werden durch einen Programmbezeichner definiert. Die Programmkennung ist unabhängig von einer Transportadresse, und die meisten Sun RPC-Sitzungen werden über TCP oder UDP-Port 111 initiiert. Jeder Host verbindet den erforderlichen RPC-Dienst mit einem dynamischen TCP- oder UDP-Port, der über den Steuerungskanal von Port 111 ausgehandelt wird, sodass der Client eine Verbindung zu TCP- oder UDP-Port 111 herstellen kann.
Zu den vordefinierten Sun RPC-Services (Remote Procedure Call) von Sun Microsystems gehören:
junos-sun-rpc-tcpjunos-sun-rpc-udp
Das Sun RPC-ALG kann mit den folgenden Methoden angewendet werden:
ALG-Standardanwendung – Verwenden Sie eine der folgenden vordefinierten Anwendungen für Steuerungs- und Datenverbindungen in Ihrer Richtlinie:
junos-sun-rpc-any-tcpjunos-sun-rpc-any-udpjunos-sun-rpc-mountd-tcpjunos-sun-rpc-mountd-udpjunos-sun-rpc-nfs-tcpjunos-sun-rpc-nfs-udpjunos-sun-rpc-nlockmgr-tcpjunos-sun-rpc-nlockmgr-udpjunos-sun-rpc-portmap-tcpjunos-sun-rpc-portmap-udpjunos-sun-rpc-rquotad-tcpjunos-sun-rpc-rquotad-udpjunos-sun-rpc-ruserd-tcpjunos-sun-rpc-ruserd-udpjunos-sun-rpc-sadmind-tcpjunos-sun-rpc-sadmind-udpjunos-sun-rpc-sprayd-tcpjunos-sun-rpc-sprayd-udpjunos-sun-rpc-status-tcpjunos-sun-rpc-status-udpjunos-sun-rpc-walld-tcpjunos-sun-rpc-walld-udpjunos-sun-rpc-ypbind-tcpjunos-sun-rpc-ypbind-udpjunos-sun-rpc-ypserv-tcpjunos-sun-rpc-ypserv-udp
Standardsteuerungsanwendung – Verwenden Sie die vordefinierte Steuerung durch
junos-sun-rpc:Erstellen Sie eine Anwendung für Daten (
USER_DEFINED_DATA). Sie können beispielsweisemy_rpc_application_seteigene Daten erstellen und in der Richtlinie verwenden.ALG-Standardanwendungssatz – Verwenden Sie den vordefinierten Anwendungssatz für steuerungs- und benutzerdefinierte Datenanwendung in der Richtlinie:
junos-sun-rpc(für Kontrollsitzungen)junos-sun-rpc-anyjunos-sun-rpc-mountdjunos-sun-rpc-nfsjunos-sun-rpc-nfs-accessjunos-sun-rpc-nlockmgrjunos-sun-rpc-portmap(für Datensitzungen)junos-sun-rpc-rquotadjunos-sun-rpc-ruserdjunos-sun-rpc-sadmindjunos-sun-rpc-spraydjunos-sun-rpc-statusjunos-sun-rpc-walldjunos-sun-rpc-ypbindjunos-sun-rpc-ypserv
Benutzerdefinierte Steuerung und benutzerdefinierte Datenanwendung – Verwenden Sie eine benutzerdefinierte Anwendung:
Erstellen Sie eine Anwendung für Steuerung (
USER_DEFINED_CONTROL) und Daten (USER_DEFINED_DATA).Verwenden Sie in der Richtlinie den benutzerdefinierten Anwendungssatz für eine Steuerungs- und benutzerdefinierte Datenanwendung:
USER_DEFINED_CONTROLUSER_DEFINED_DATA
Tabelle 1 listet vordefinierte Sun RPC-Services, einen jedem Dienst zugeordneten Programmbezeichner und eine Beschreibung der einzelnen Services auf.
Service |
Programm-ID |
Beschreibung |
|---|---|---|
PORTMAP |
100000 |
Sun RPC Portmapper-Protokoll ist ein TCP- oder UDP-portbasierter Service, der TCP oder UDP-Port 111 umfasst. |
NFS |
100003 |
Sun RPC-Netzwerk-Dateisystem. |
MOUNT |
100005 |
Sun RPC-Mountprozess. |
YPBIND |
100007 |
Sun RPC Yellow Page Bind-Service. |
STATUS |
100024 |
Sun RPC-Status. |
Grundlegendes zu Microsoft RPC ALGs
Microsoft Remote Procedure Call (MS-RPC) ist die Microsoft-Implementierung des DISTRIBUTED Computing Environment (DCE) RPC. Wie der Sun RPC bietet MS-RPC eine Möglichkeit für ein Programm, das auf einem Host ausgeführt wird, Prozeduren in einem Programm aufzurufen, das auf einem anderen Host ausgeführt wird. Aufgrund der großen Anzahl von RPC-Services und der Notwendigkeit, zu broadcasten, wird die Transportadresse eines RPC-Diensts dynamisch basierend auf der Universellen eindeutigen Kennung (UUID) des Dienstprogramms ausgehandelt. Die spezifische UUID wird einer Transportadresse zugeordnet.
Junos OS-Geräte, auf denen Junos OS ausgeführt wird, unterstützen MS-RPC als vordefinierten Service und erlauben und verweigern Datenverkehr basierend auf einer von Ihnen konfigurierten Richtlinie. Das Application Layer Gateway (ALG) bietet die Funktionen für Geräte von Juniper Networks, um den dynamischen Übertragungs-Adress-Aushandlungsmechanismus des MS-RPC zu bewältigen und eine UUID-basierte Durchsetzung von Sicherheitsrichtlinien zu gewährleisten. Sie können eine Sicherheitsrichtlinie definieren, um alle RPC-Anforderungen zuzulassen oder zu verweigern oder über eine bestimmte UUID-Nummer zuzulassen oder zu verweigern. Die ALG unterstützt auch den Routenmodus und den Network Address Translation (NAT)-Modus für eingehende und ausgehende Anfragen.
Wenn sowohl der MS-RPC-Client als auch der MS-RPC-Server 64-Bit-fähig sind (z. B. MS Exchange 2008), verhandeln sie, während der Netzwerkkommunikation NDR64-Übertragungssyntax zu verwenden. Wenn Sie NDR64 verwenden, sollten die Schnittstellenparameter entsprechend der NDR64-Syntax codiert werden, da sich das Paketformat für NDR64 von dem Paketformat für NDR20 (32-Bit-Version) unterscheidet.
In MS-RPC gibt es eine Remote-Aktivierungsschnittstelle des DCOM Remote Protocol namens ISystemActivator (auch bekannt als IRemoteSCMActivator). Es wird von der Windows Management Instrumentation Command-Line (WMIC), Internet Information Services (IIS) und vielen anderen Anwendungen verwendet, die umfassend verwendet werden.
Das MS-RPC-ALG weist neue Zuordnungseinträge dynamisch zu, anstatt eine Standardgröße (512 Einträge) zu verwenden. Es bietet auch einen flexiblen zeitbasierten RPC-Zuordnungseintrag, der den Zuordnungseintrag entfernt (automatisch bereinigen), ohne die zugehörigen aktiven RPC-Sitzungen, einschließlich der Steuer- und Datensitzung, zu beeinträchtigen.
Ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 können Sie den Wert des MS-RPC-Eintrags für die Altersüberschreitung definieren. Verwenden Sie den set security alg msrpc map-entry-timeout value Befehl. Der Ageout-Wert liegt zwischen 1 Stunde und 72 Stunden, der Standardwert ist 32 Stunden. Wenn der MS-RPC-ALG-Dienst die Steuerungsaushandlung auch nach 72 Stunden nicht auslöst, ist die maximale Anzahl der MS-RPC-ALG-Zuordnungswerte für den Eintragswert wieder out, und die neue Datenverbindung zum Dienst schlägt fehl.
Aktivieren von Microsoft RPC ALGs
Ms-RPC-ALG ist standardmäßig aktiviert und erfordert keine Konfiguration.
Aktivieren von Microsoft RPC ALGs (CLI-Prozedur)
Geben Sie den folgenden Befehl ein, um die Microsoft RPC-ALG zu deaktivieren:
user@host# set security alg msrpc disable
Geben Sie den folgenden Befehl ein, um die Microsoft RPC-ALG wiederzuerlangen:
user@host# delete security alg msrpc
Konfigurieren der Microsoft RPC-ALG
Sie können microsoft RPC ALG mit den folgenden drei Methoden konfigurieren:
- Konfigurieren der MS-RPC-ALG mit einer vordefinierten Microsoft-Anwendung
- Konfigurieren der MS-RPC-ALG mit einer Wildcard-UUID
- Konfigurieren der MS-RPC-ALG mit einer spezifischen UUID
Konfigurieren der MS-RPC-ALG mit einer vordefinierten Microsoft-Anwendung
Es gibt mehrere vordefinierte MS-Anwendungen. Geben show configuration groups junos-defaults Sie den Befehl ein, um die vordefinierten Microsoft-Anwendungen über die CLI anzuzeigen.
user@host> show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application junos-ms-rpc-msexchange;
}
then {
permit;
}
}
}
Geben Sie nach dem Commit der Konfiguration über die CLI den show security alg msrpc object-id-map Befehl ein, um die Ausgabe anzuzeigen.
user@host> show security alg msrpc object-id-map UUID OID 1544f5e0-613c-11d1-93df-00c04fd7bd09 0x80000001 a4f1db00-ca47-1067-b31f-00dd010662da 0x80000002 f5cc5a18-4264-101a-8c59-08002b2f8426 0x80000003
Die Ausgabe zeigt, dass die UUID für die Richtlinie angewendet wurde.
Konfigurieren der MS-RPC-ALG mit einer Wildcard-UUID
Um die Konfiguration für jede MS RPC-Anwendung zu erlauben, fügen Sie die application junos-ms-rpc-any Anweisung zur Konfiguration Permit hinzu.
user@host> show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application junos-ms-rpc-any;
}
then {
permit;
}
}
}
Geben Sie nach dem Commit der Konfiguration über die CLI den show security alg msrpc object-id-map Befehl ein, um die Ausgabe anzuzeigen.
user@host> show security alg msrpc object-id-map UUID OID ffffffff-ffff-ffff-ffff-ffffffffffff 0x80000004
Konfigurieren der MS-RPC-ALG mit einer spezifischen UUID
Für Anwendungen, die nicht vordefiniert wurden, müssen Sie eine bestimmte UUID manuell konfigurieren. Wenn Sie beispielsweise eine NETLOGON-Anwendung zulassen möchten, die nicht vordefiniert ist, fügen Sie die application msrpc-netlogon Anweisung zur Konfiguration Permit hinzu.
In Junos OS Version 15.1X49-D90 und früher auf allen Geräten der SRX-Serie kann die benutzerdefinierte UUID (Application Universal Unique Identifier) des Microsoft Remote Procedure Call (MS-RPC) mit führenden Nullen und der nil UUID (000000-0000-0000-0000-0000-000000000000) mit dem gesamten TCP-Datenverkehr übereinstimmen, anstatt die MS-RPC-ALG-Prüfung durchzuführen.
Ab Junos OS-Version 15.1X49-D100 und Junos OS Version 17.3R1 entspricht die benutzerdefinierte Anwendungs-UUID mit führenden Nullen nicht dem gesamten TCP-Datenverkehr und den referenzierten Richtlinien, die in die MS-RPC-ALG-Prüfung eingehen. Diese neue Anwendung erlaubt keine UUID.
user@host> show applications
application msrpc-netlogon {
term t1 protocol tcp uuid 12345678-1234-abcd-ef00-01234567cffb;
term t2 protocol udp uuid 12345678-1234-abcd-ef00-01234567cffb;
term t3 protocol tcp uuid 12345778-1234-abcd-ef00-0123456789ab;
}
user@host> show security policies
from-zone trust to-zone untrust {
match {
source-address any;
destination-address any;
application msrpc-netlogon;
}
then {
permit;
}
}
}
Geben Sie nach dem Commit der Konfiguration über die CLI den Befehl ein, um die show security alg msrpc object-id-map Microsoft Universal Unique Identifier to Object ID (UUID-to-OID)-Zuordnungstabelle zu überprüfen. Microsoft RPC ALG überwacht Pakete am TCP-Port 135.
user@host> show security alg msrpc object-id-map UUID OID 12345778-1234-abcd-ef00-0123456789ab 0x80000006 12345678-1234-abcd-ef00-01234567cffb 0x80000005 be617c0-31a5-11cf-a7d8-00805f48a135 0x80000020 e3514235-4b06-11d1-ab04-00c04fc2dcd2 0x80000002 67df7c70-0f04-11ce-b13f-00aa003bac6c 0x80000014
Der show security alg msrpc object-id-map CLI-Befehl verfügt über eine Chassis-Cluster-Knotenoption, um die Ausgabe auf einen bestimmten Knoten zu beschränken oder den gesamten Cluster abzufragen. Die show security alg msrpc object-id-map node CLI-Befehlsoptionen sind <node-id | all | local | primary>.
Grundlegendes zu Microsoft RPC-Services
MS-RPC ist die Microsoft-Implementierung des DISTRIBUTED Computing Environment (DCE) RPC. Wie der Sun RPC bietet ms-RPC eine Möglichkeit für ein Programm, das auf einem Host ausgeführt wird, Prozeduren in einem Programm aufzurufen, das auf einem anderen Host ausgeführt wird. Der MS-RPC wird dynamisch basierend auf dem Universal Unique Identifier (UUID) des Serviceprogramms ausgehandelt. Die spezifische UUID wird einer Transportadresse zugeordnet.
In Junos OS Version 15.1X49-D90 und früher auf allen Geräten der SRX-Serie kann die benutzerdefinierte UUID (Application Universal Unique Identifier) des Microsoft Remote Procedure Call (MS-RPC) mit führenden Nullen und der nil UUID (000000-0000-0000-0000-0000-000000000000) mit dem gesamten TCP-Datenverkehr übereinstimmen, anstatt die MS-RPC-ALG-Prüfung durchzuführen.
Ab Junos OS-Version 15.1X49-D100 und Junos OS Version 17.3R1 entspricht die benutzerdefinierte Anwendungs-UUID mit führenden Nullen nicht dem gesamten TCP-Datenverkehr und den referenzierten Richtlinien, die in die MS-RPC-ALG-Prüfung eingehen. Diese neue Anwendung erlaubt keine UUID.
Zu den vordefinierten MS-RPC-Services (Remote Procedure Call) von Microsoft gehören:
junos-ms-rpc-epmjunos-ms-rpc-tcpjunos-ms-rpc-udp
Ms-RPC-Anwendungsstandard umfasst:
junos-ms-rpc-iis-com-1junos-ms-rpc-iis-com-adminbasejunos-ms-rpc-msexchange-directory-nspjunos-ms-rpc-msexchange-directory-rfrjunos-ms-rpc-msexchange-info-storejunos-ms-rpc-uuid-any-tcpjunos-ms-rpc-uuid-any-udpjunos-ms-rpc-wmic-adminjunos-ms-rpc-wmic-admin2junos-ms-rpc-wmic-mgmtjunos-ms-rpc-wmic-webm-callresultjunos-ms-rpc-wmic-webm-classobjectjunos-ms-rpc-wmic-webm-level1loginjunos-ms-rpc-wmic-webm-login-clientidjunos-ms-rpc-wmic-webm-login-helperjunos-ms-rpc-wmic-webm-objectsinkjunos-ms-rpc-wmic-webm-refreshing-servicesjunos-ms-rpc-wmic-webm-remote-refresherjunos-ms-rpc-wmic-webm-servicesjunos-ms-rpc-wmic-webm-shutdown
Ms-RPC-Anwendungseinstellungen umfassen:
junos-ms-rpcjunos-ms-rpc-anyjunos-ms-rpc-iis-comjunos-ms-rpc-msexchangejunos-ms-rpc-wmic
Tabelle 2 listet vordefinierte MS-RPC-Services, jedem Dienst zugeordnete UUID-Werte und eine Beschreibung der einzelnen Services auf.
Service |
UUID |
Beschreibung |
|---|---|---|
EPM |
e1af8308-5d1f-11c9-91a4-08002b14a0fa |
MS-RPC Endpoint Mapper (EPM)-Protokoll ist ein TCP/UDP-portbasierter Dienst, der TCP/UDP-Port 135 umfasst. |
EXCHANGE-DATENBANK |
1a190310-bb9c-11cd-90f8-00aa00466520 |
Microsoft Exchange-Datenbankdienst. |
EXCHANGE-VERZEICHNIS |
f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426 |
Microsoft Exchange-Verzeichnisdienst. |
WIN-DNS |
50abc2a4-574d-40b3-9d66-ee4fd5fba076 |
Microsoft Windows DNS-Server. |
GEWINNT |
5f52c28-7f9f-101a-b52b-08002b2efabe 811109bf-a4e1-11d1-ab54-00a0c91e9b45 |
Microsoft WINS-Dienst. |
WMIC-Webm-Level1Login |
f309ad18-d86a-11d0-a075-00c04fb68820 |
Mit diesem Dienst können Benutzer eine Verbindung zur Verwaltungsserviceschnittstelle in einem bestimmten Namespace herstellen. |
Anpassen von Microsoft RPC-Anwendungen (CLI-Prozedur)
MS-RPC-Anwendungen werden auf die gleiche Weise wie SUN RPC-Anwendungen angepasst.
MS-RPC-Services in Sicherheitsrichtlinien sind:
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde1453c42c-0fa6-11d2-a910-00c04f990f3b10f24e8e-0fa6-11d2-a910-00c04f990f3b1544f5e0-613c-11d1-93df-00c04fd7bd09
Die entsprechenden TCP/UDP-Ports sind dynamisch. Um sie zuzulassen, verwenden Sie die folgende Anweisung für jede Zahl:
set applications application-name term term-name uuid hex-number
Die ALG ordnet die Programmnummern auf Grundlage dieser vier UUIDs in dynamisch ausgehandelte TCP/UDP-Ports zu und genehmigt oder verweigert den Service basierend auf einer von Ihnen konfigurierten Richtlinie.