ALG im Überblick
ALG-Beschreibungen
In diesem Thema werden die von Junos OS unterstützten Anwendungsebenen-Gateways (ALGs) beschrieben. Die ALG-Unterstützung umfasst die Verwaltung von Lochblenden und Eltern-Kind-Beziehungen für die unterstützten ALGs.
- Unterstützte ALGs
- Details zum ALG-Support
- Standardeinstellungen bei Juniper Networks
- Beispiele: Verweisen auf die Preset-Anweisung aus der Junos OS Default-Gruppe
Unterstützte ALGs
Tabelle 1 listet die von Junos OS unterstützten ALGs auf. Informationen dazu, welche ALGs auf MS-DPCs, MS-MPCs und MS-MICs unterstützt werden, finden Sie unter ALGs für Junos OS Address Aware NAT verfügbar.
Unterstützte ALGs |
v4 – v4 |
v6–v4 |
v6 - v6 |
DS-Lite (Unterstützung für ALGs mit DS-lite auf MS-MPC und MS-MIC beginnt in Junos OS Version 18.1R1) |
|---|---|---|---|---|
Grundlegende TCP-ALG |
Nein |
Nein |
Nein |
Nein |
Basic UPD ALG |
Nein |
Nein |
Nein |
Nein |
BOOTEN |
Nein |
Nein |
Nein |
Nein |
DCE RPC-Services |
Nein |
Nein |
Nein |
Nein |
DNS (Englisch) |
Nein |
Nein |
Nein |
Nein |
FTP |
Nein |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Nein |
Gatekeeper RAS |
Ja (ab Junos OS Version 17.1R1) |
Ja (ab Junos OS Version 17.2R1) |
Nein |
Nein |
H323 |
Nein |
Ja (ab Junos OS Version 17.2R1) |
Nein |
Nein |
ICMP |
Nein |
Nein |
Nein |
Nein |
IKE ALG (ab Junos OS Version 14.2R7, 15.1R5, 16.1R2 und 17.1R1) |
Nein |
Nein |
Nein |
Nein |
IIOP |
Nein |
Nein |
Nein |
Nein |
IP (IP) |
Nein |
Nein |
Nein |
Nein |
NETBIOS |
Nein |
Nein |
Nein |
Nein |
NETSHOW |
Nein |
Nein |
Nein |
Nein |
PPTP |
Nein |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Nein |
REALAUDIO |
Nein |
Nein |
Nein |
Nein |
Sun RPC- und RPC-Portkartenservices |
Nein |
Nein |
Nein |
Nein |
RTSP |
Nein |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Nein |
SIP |
Nein |
Ja (ab Junos OS Version 14.1R1) |
Nein |
SIP wird für DS-Lite auf MS-MPC und MS-MIC ab Junos OS Version 18.2R1 unterstützt. |
SNMP |
Nein |
Nein |
Nein |
Nein |
SQLNET |
Nein |
Nein |
Nein |
Nein |
TFTP |
Nein |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Nein |
Traceroute |
Nein |
Nein |
Nein |
Nein |
Unix Remote Shell Service |
Nein |
Nein |
Nein |
Nein |
WINFrame |
Nein |
Nein |
Nein |
Nein |
Details zum ALG-Support
Dieser Abschnitt enthält Details zu den ALGs. Er umfasst Folgendes:
- Grundlegende TCP-ALG
- Grundlegende UDP-ALG
- BOOTEN
- DCE RPC-Services
- DNS (Englisch)
- FTP
- Gatekeeper RAS
- H323
- ICMP
- IIOP
- IKE ALG
- IP (IP)
- NetBIOS
- NetShow
- ONC RPC Services
- PPTP
- RealAudio
- Sun RPC- und RPC-Portmap-Services
- RTSP
- SIP
- SNMP
- SQLNet
- TFTP
- Traceroute
- UNIX Remote-Shell-Services
- WinFrame
Grundlegende TCP-ALG
Diese ALG führt eine grundlegende Plausibilitätsprüfung für TCP-Pakete durch. Wenn Fehler gefunden werden, werden die folgenden Anomalieereignisse und Systemprotokollmeldungen generiert:
TCP-Quell- oder Zielport Null
TCP-Header-Längenprüfung fehlgeschlagen
TCP-Sequenznummer null und es werden keine Flags gesetzt
TCP-Sequenznummer Null und FIN/PSH/RST-Flags sind gesetzt
TCP FIN/RST oder SYN(URG|FIN|RST)-Flags gesetzt sind
Die TCP-ALG führt die folgenden Schritte aus:
Wenn der Router ein SYN-Paket empfängt, erstellt der ALG TCP-Forward- und -Reverse-Flows und gruppiert sie in einer Konversation. Es verfolgt den TCP-Drei-Wege-Handshake.
Der SYN-Abwehrmechanismus verfolgt den TCP-Verbindungsaufbaustatus. Es wird erwartet, dass die TCP-Sitzung innerhalb eines kleinen Zeitintervalls (derzeit 4 Sekunden) aufgebaut wird. Wenn der TCP-Drei-Wege-Handshake in diesem Zeitraum nicht eingerichtet wird, wird die Sitzung beendet.
Ein Keepalive-Mechanismus erkennt TCP-Sitzungen mit nicht reagierenden Endgeräten.
ICMP-Fehler sind nur zulässig, wenn ein Flow mit den in den ICMP-Daten angegebenen Selektorinformationen übereinstimmt.
Grundlegende UDP-ALG
Diese ALG führt eine grundlegende Plausibilitätsprüfung für UDP-Header durch. Wenn Fehler gefunden werden, werden die folgenden Anomalieereignisse und Systemprotokollmeldungen generiert:
UDP-Quell- oder Zielport 0
UDP-Header-Längenprüfung fehlgeschlagen
Der UDP-ALG führt die folgenden Schritte aus:
Wenn das erste Paket empfangen wird, erzeugt das ALG bidirektionale Datenströme, um UDP-Sitzungsdatenverkehr weiterzuleiten und umzukehren.
Wenn die Sitzung länger als die maximal zulässige Leerlaufzeit (der Standardwert beträgt 30 Sekunden) im Leerlauf ist, werden die Flows gelöscht.
ICMP-Fehler sind nur zulässig, wenn ein Flow mit den in den ICMP-Daten angegebenen Selektorinformationen übereinstimmt.
BOOTEN
Der Bootstrap Protocol (BOOTP)-Client ruft seine Netzwerkinformationen von einem Server im Netzwerk ab. Es sendet eine allgemeine Broadcast-Nachricht, um die Informationen anzufordern, die vom BOOTP-Server zurückgegeben werden. Informationen zur Protokollspezifikation finden Sie unter ftp://ftp.isi.edu/in-notes/rfc951.txt.
Die Unterstützung für zustandsbehaftete Firewalls erfordert, dass Sie die BOOTP ALG auf UDP-Serverport 67 und Clientport 68 konfigurieren. Wenn der Client eine Broadcast-Nachricht sendet, sollten Sie die Broadcast-Adresse in der from Anweisung der Dienstregel konfigurieren. Network Address Translation (NAT) wird nicht für den BOOTP-Datenverkehr ausgeführt, selbst wenn die NAT-Regel mit dem Datenverkehr übereinstimmt. Wenn die BOOTP-Relay-Funktion auf dem Router aktiviert ist, wird davon ausgegangen, dass der Remote-BOOTP-Server Adressen für Clients zuweist, die durch NAT-Übersetzung maskiert sind.
DCE RPC-Services
Distributed Computing Environment (DCE) Remote Procedure Call (RPC)-Dienste werden hauptsächlich von Microsoft-Anwendungen verwendet. Die ALG verwendet den bekannten TCP-Port 135 für Portzuordnungsdienste und verwendet den Universal Unique Identifier (UUID) anstelle der Programmnummer zur Identifizierung von Protokollen. Das wichtigste anwendungsbasierte DCE RPC ist das Microsoft Exchange Protocol.
Die Unterstützung für Stateful-Firewall- und NAT-Services erfordert, dass Sie die DCE-RPC-Portzuordnung ALG auf TCP-Port 135 konfigurieren. Das DCE RPC ALG verwendet das TCP-Protokoll mit anwendungsspezifischen UUIDs.
DNS (Englisch)
Das Domain Name System (DNS), das normalerweise auf Port 53 ausgeführt wird, verarbeitet die Daten, die mit der Suche und Übersetzung von Domänennamen in IP-Adressen verbunden sind. Der DNS-ALG der MX-Serie überwacht die DNS-Abfrage- und Antwortpakete und unterstützt UDP- und TCP-DNS-Datenverkehr unabhängig. Die DNS-ALG unterstützt keine Nutzlastübersetzungen für NAT, aber ein Betreiber kann sie verwenden, um die NAT- oder Stateful-Firewall-DNS-Sitzungen effizient aus dem Speicher zu entfernen, nachdem der DNS-Server seine Antwort gesendet hat. Das DNS ALG schließt die Sitzung nur, wenn eine Antwort empfangen wird oder ein Leerlauf-Timeout erreicht wird.
Bei Verwendung von TCP-DNS-ALG kann es zu Problemen mit TCP-DNS-Datenverkehr kommen, wenn der DNS-Datenverkehr nicht nur der Standardanforderungs- und Antworttyp ist. Beispielsweise kann das TCP-DNS-ALG die DNS-Server-zu-Server-Kommunikation unterbrechen, die TCP verwendet, z. B. DNS-Replikation oder Zonenübertragungen. Diese Art von Datenverkehr kann von den NAT- oder Stateful-Firewall-Plugins verworfen werden, da das TCP-DNS-ALG die Sitzung schließt, nachdem der TCP-Handshake abgeschlossen ist und nachdem jeder Server ein Paket an das andere gesendet hat. Verwenden Sie in diesen Fällen nicht das TCP-DNS-ALG.
Das TCP-DNS-ALG wird auf den MS-DPC-Servicekarten nicht unterstützt.
FTP
FTP ist das Dateiübertragungsprotokoll, das in RFC 959 spezifiziert ist. Neben der Hauptsteuerverbindung werden auch Datenverbindungen für die Datenübertragung zwischen Client und Server hergestellt. und der Host, der Port und die Richtung werden über den Steuerkanal ausgehandelt.
Bei FTP im nicht-passiven Modus scannt der Stateful Firewall-Service von Junos OS die Client-zu-Server-Anwendungsdaten nach dem PORT-Befehl, der die IP-Adresse und Portnummer bereitstellt, mit der der Server eine Verbindung herstellt. Bei FTP im passiven Modus scannt der Stateful Firewall-Service von Junos OS die Client-zu-Server-Anwendungsdaten nach dem PASV-Befehl und scannt dann die Server-zu-Client-Antworten nach der Antwort 227, die die IP-Adresse und Portnummer enthält, mit der der Client eine Verbindung herstellt.
Es gibt eine zusätzliche Komplikation: FTP stellt diese Adressen und Portnummern in ASCII dar. Wenn Adressen und Ports umgeschrieben werden, kann sich daher die TCP-Sequenznummer ändern, und danach muss der NAT-Dienst dieses Delta in SEQ- und ACK-Nummern beibehalten, indem er Sequenz-NAT für alle nachfolgenden Pakete durchführt.
Die Unterstützung für Stateful-Firewall- und NAT-Services erfordert, dass Sie das FTP-ALG auf TCP-Port 21 konfigurieren, um das FTP-Steuerungsprotokoll zu aktivieren. Die ALG übernimmt folgende Aufgaben:
Automatische Zuweisung von Datenports und Firewall-Berechtigungen für dynamische Datenverbindungen
Erstellt Flows für die dynamisch ausgehandelte Datenverbindung
Überwacht die Steuerverbindung sowohl im aktiven als auch im passiven Modus
Schreibt die Steuerpakete mit der entsprechenden NAT-Adresse und Portinformationen um
Auf MS-MPCs, MS-MICs müssen Sie die aktivierte APP-Funktionalität (Address Pooling Pairing) aktivieren, damit passives FTP ohne aktiviertes FTP Application Layer Gateway (ALG) ordnungsgemäß funktioniert (indem application junos-ftp Sie die address-pooling Anweisung [edit services nat rule rule-name term term-name then translated] auf der [edit services stateful-firewall rule rule-name term term-name from] [edit services nat rule rule-name term term-name from] Hierarchieebene nicht angeben). Eine solche Konfiguration führt dazu, dass die Daten- und Steuer-FTP-Sitzungen dieselbe NAT-Adresse erhalten.
Gatekeeper RAS
Ab Junos OS Version 17.1R1 ermöglicht das RAS-ALG (Gatekeeper Registration, Administration and Status) die vollständige Unterstützung des Gatekeeper-Modus für H.323-Anrufe. Ein Endgerät registriert sich bei einem Gatekeeper und bittet um dessen Verwaltung. Bevor ein Endgerät einen Anruf tätigt, bittet es seinen Gatekeeper um Erlaubnis, den Anruf zu tätigen. Sowohl in der Registrierungs- als auch in der Zulassungsphase wird der RAS-Kanal verwendet. Verwenden Sie den Gatekeeper RAS ALG und den H323 ALG in IPv4- und IPv6-Stateful-Firewall-Regeln oder NAPT-44-Regeln. Ab Junos OS Version 17.2R1 werden auch NAT-64-Regeln unterstützt. Der Junos-Standardanwendungssatz junos-h323-suite umfasst das H323 ALG und den Gatekeeper RAS ALG.
H323
H323 ist eine Suite von ITU-Protokollen für Audio-, Videokonferenz- und Kollaborationsanwendungen. H323 besteht aus H.225-Anrufsignalisierungsprotokollen und dem H.245-Steuerungsprotokoll für die Medienkommunikation. Während der H.225-Aushandlung erstellen die Endpunkte einen Anruf, indem sie Anrufsignalisierungsnachrichten auf dem Steuerkanal austauschen und einen neuen Steuerkanal für H.245 aushandeln. Für H.245-Nachrichten wird eine neue Steuerungsverbindung erstellt. Nachrichten werden auf dem H.245-Steuerkanal ausgetauscht, um Medienkanäle zu öffnen.
Die Stateful-Firewall überwacht den H.225-Steuerkanal, um den H.245-Steuerkanal zu öffnen. Nachdem der H.245-Kanal erstellt wurde, überwacht die Stateful-Firewall auch diesen Kanal auf Medienkanalinformationen und lässt den Mediendatenverkehr durch die Firewall zu.
H323 ALG unterstützt statische Ziel-, statische und dynamische Quell-NAT, indem die entsprechenden Adressen und Ports in den H.225- und H.245-Nachrichten umgeschrieben werden.
Um den Gatekeeper-Modus für H.323-Aufrufe zu unterstützen, verwenden Sie den H323-ALG und den Gatekeeper-RAS-ALG in IPv4- und IPv6-Stateful-Firewall-Regeln oder NAPT-44-Regeln. Ab Junos OS Version 17.2R1 werden auch NAT-64-Regeln unterstützt. Der Junos-Standardanwendungssatz junos-h323-suite umfasst das H323 ALG und den Gatekeeper RAS ALG.
ICMP
Das Internet Control Message Protocol (ICMP) ist in RFC 792 definiert. Der Stateful-Firewall-Service von Junos OS ermöglicht das Filtern von ICMP-Nachrichten nach einem bestimmten Typ oder einem bestimmten Typcodewert. ICMP-Fehlerpakete, denen ein speziell konfigurierter Typ und Code fehlt, werden mit allen vorhandenen Datenströmen in die entgegengesetzte Richtung abgeglichen, um die Legitimität des Fehlerpakets zu prüfen. ICMP-Fehlerpakete, die den Filterabgleich bestehen, unterliegen der NAT-Übersetzung.
Das ICMP ALG verfolgt den Ping-Datenverkehr immer zustandsbehaftet anhand der ICMP-Sequenznummer. Jede Echoantwort wird nur weitergeleitet, wenn eine Echoanforderung mit der entsprechenden Sequenznummer vorliegt. Für jeden Ping-Flow können nur 20 Echo-Anfragen weitergeleitet werden, ohne eine Echo-Antwort zu erhalten. Wenn Sie dynamisches NAT konfigurieren, wird der PING-Paketbezeichner übersetzt, damit zusätzliche Hosts im NAT-Pool denselben Bezeichner verwenden können.
Die Unterstützung für Stateful-Firewall- und NAT-Services erfordert, dass Sie die ICMP-ALG konfigurieren, wenn das Protokoll benötigt wird. Sie können den ICMP-Typ und den ICMP-Code für zusätzliche Filterung konfigurieren.
IIOP
Das Oracle Application Server Name Server Internet Inter-ORB Protocol (IIOP). Diese ALG wird in der Common Object Request Broker Architecture (CORBA) verwendet, die auf verteiltem Computing basiert. Obwohl CORBA und IIOP OMG-Standards (Object Management Group) sind, ist IIOP kein fester Port zugewiesen. Jeder Anbieter, der CORBA implementiert, wählt einen Port aus. Java Virtual Machine verwendet standardmäßig Port 1975, während ORBIX standardmäßig Port 3075 verwendet.
Stateful Firewall und NAT erfordern die Konfiguration von ALG IIOP für TCP-Port 1975 für Java VM IIOP und 3075 für CORBA-Anwendungen ORBIX, ein CORBA-Framework von Iona Technologies.
IKE ALG
Vor Junos OS Version 17.4R1 wird Network Address Translation-Traversal (NAT-T) für die Junos VPN Site Secure Suite von IPsec-Funktionen auf den MX-Serie-Routern nicht unterstützt. Ab Junos OS Version 14.2R7, 15.1R5, 16.1R2 und 17.1R1 ermöglicht das IKE ALG die Weitergabe von IKEv1- und IPsec-Paketen über NAPT-44- und NAT64-Regeln zwischen IPsec-Peers, die nicht NAT-T-kompatibel sind. Diese ALG unterstützt nur den ESP-Tunnel-Modus.
Verwenden Sie dieses ALG in NAT-Regeln, und geben Sie das UDP-Protokoll und Port 500 an.
Diese ALG führt Folgendes aus:
Verfolgt IKEv1-Verbindungsinitiierungsanforderungen, um festzustellen, ob eine NAT-Verarbeitung erforderlich ist.
Führt eine NAT-Übersetzung für ausgehende und eingehende IKEv1-Anforderungen durch und erstellt IKE-Sitzungen.
Identifiziert IPsec-Pakete im Zusammenhang mit der etablierten IKE-Sitzung und stellt eine Sicherheitszuordnung zwischen Peers her.
Führt eine NAT-Übersetzung für IPsec-Pakete durch.
IP (IP)
Das IP-ALG wird nur zur Erstellung unidirektionaler Datenströme verwendet. Im Falle von TCP-Datenverkehr wird der 3-Wege-Handshake-Prozess nicht überprüft. Diese ALG ist nützlich bei Service-Sets nur mit Stateful-Firewalls, bei denen der Datenverkehr nur in eine Richtung fließen kann. Bei der Konfiguration in Verbindung mit match-direction input-output lässt es zu, dass der zurückkommende Datenverkehr auch durch die Stateful Firewall fließt. Typische Szenarien sind statische NAT, Ziel-NAT oder Szenarien, in denen erwartet wird, dass der Datenverkehr bei asymmetrischem Routing die Stateful Firewall passiert. Der Junos IP ALG ist nicht für die Verwendung mit NAPT vorgesehen, was dazu führt, dass übereinstimmender Datenverkehr durch die Erstellung eines Drop-Flows verworfen wird.
NetBIOS
Ein NetBIOS-ALG übersetzt NetBIOS-IP-Adressen und Portnummern, wenn NAT verwendet wird.
NetBIOS unterstützt die TCP- und UDP-Transportprotokolle. Die Unterstützung für Stateful Firewall- und NAT-Dienste erfordert, dass Sie das NetBIOS-ALG auf UDP-Port 138 und TCP-Port 139 konfigurieren.
NetShow
Das Microsoft-Protokoll ms-streaming wird von NetShow, dem Microsoft-Medienserver, verwendet. Dieses Protokoll unterstützt mehrere Transportprotokolle: TCP, UDP und HTTP. Der Client startet eine TCP-Verbindung auf Port 1755 und sendet den PORT-Befehl an den Server. Der Server startet dann UDP auf diesem Port zum Client. Die Unterstützung für Stateful Firewall- und NAT-Services erfordert, dass Sie NetShow ALG auf UDP-Port 1755 konfigurieren.
ONC RPC Services
Open Networks Computing (ONC) RPC-Services funktionieren ähnlich wie DCE RCP-Services. Der ONC RPC ALG verwendet jedoch den TCP/UDP-Port 111 für Portzuordnungsdienste und verwendet die Programmnummer zur Identifizierung von Protokollen anstelle der UUID.
Die Unterstützung für Stateful Firewall- und NAT-Services erfordert, dass Sie die ONC RPC-Portzuordnung ALG auf TCP-Port 111 konfigurieren. Der ONC RPC ALG verwendet das TCP-Protokoll mit anwendungsspezifischen Programmnummern.
PPTP
Das Point-to-Point Tunneling Protocol (PPTP) ALG ist ein TCP-basiertes ALG. PPTP ermöglicht das Tunneln des Point-to-Point Protocol (PPP) durch ein IP-Netzwerk. PPTP definiert eine Client-Server-Architektur, einen PPTP-Netzwerkserver und einen PPTP-Zugriffskonzentrator. Das PPTP ALG erfordert eine Kontrollverbindung und einen Daten-Tunnel. Die Steuerungsverbindung verwendet TCP zum Auf- und Trennen von PPP-Sitzungen und läuft auf Port 1723. Der Daten-Tunnel überträgt PPP-Datenverkehr in GRE-Paketen (Generic Routing Encapsulated), die über IP übertragen werden.
RealAudio
Real Networks PNA-Protokoll RealVideo ist kein separater Dienst. Es ist Teil des RealPlayers und verwendet höchstwahrscheinlich einen anderen Kanal für Video. Die RealPlayer-Versionen G2, 7 und 8 verwenden PNA und RTSP. Damit diese Version funktioniert, muss das ALG sowohl PNA(7070) als auch RTSP(554) zulassen. Für die Medien wählt der Server aus einem Bereich von UDP-Ports (6970 bis 7170) oder TCP-Port 7071 oder HTTP aus. Der Client kann für die Verwendung eines bestimmten Ports konfiguriert werden. Die RealPlayer-Versionen 4.0 und 5.0 verwenden die Medien-UDP-Ports 6970 bis 7170 des Steuerkanals 7070 oder den TCP-Port 7071 oder HTTP. RealAudio Player Version 3.0 verwendet Medien des Steuerkanals 7070, UDP-Ports 6770-7170 oder TCP-Port 7071.
Echte Produkte verwenden die in Tabelle 2 aufgeführten Ports und Portbereiche.
Echtes Produkt |
Port-Nutzung |
|---|---|
4.0 und 5.0 Server/Player |
Steuerkanal (bidirektional) auf TCP-Port 7070. Datenkanal vom Server zum Player auf TCP-Port 7070 oder UDP-Port 6970-7170. |
4.0- und 5.0-Server/Encoder |
Steuerkanal (bidirektional) auf TCP-Port 7070. Datenkanal vom Encoder oder Server auf TCP-Port 7070. |
G2-Server/-Player |
Steuerkanal (bidirektional) auf TCP-Port 80, 554, 7070 oder 8080. Datenkanal vom Server zum Player auf TCP-Port 80, 554, 7070, 8080 oder UDP-Port 6970-32.000. |
G2 Server/3.1- und 5.x-Encoder |
Steuerkanal (bidirektional) auf TCP-Port 7070. Datenkanal vom Encoder zum Server auf TCP-Port 7070. |
G2 Server/G2 Producer |
Steuerkanal (bidirektional) auf TCP-Port 4040. Datenkanal vom Encoder zum Server auf TCP-Port 4040 und UDP-Port 6970-32.000. |
2 Server/G2 Producer (NUR TCP) |
Steuerkanal (bidirektional) auf TCP-Port 4040 Datenkanal vom Encoder zum Server auf TCP-Port 4040. Hinweis: Die Option TCP-ONLY ist in Version 6.1 oder höher verfügbar. |
RealAudio war das ursprüngliche Protokoll von RealPlayers. Neuere Versionen von RealPlayer verwenden RTSP. Für Stateful Firewall und NAT muss ALG RealAudio auf TCP-Port 7070 programmiert werden.
Sun RPC- und RPC-Portmap-Services
Der Remote Procedure Call (RPC) ALG verwendet die bekannten Ports TCP 111 und UDP 111 für das Port-Mapping, das Ports für RPC-Dienste dynamisch zuweist und öffnet. Das RPC Portmap ALG verfolgt Portanfragen und öffnet dynamisch die Firewall für diese angeforderten Ports. Die RPC ALG kann das RPC-Protokoll weiter einschränken, indem sie zulässige Programmnummern angibt.
Die ALG umfasst die in Tabelle 3 aufgeführten RPC-Dienste.
Bezeichnung |
Beschreibung |
Kommentare |
|---|---|---|
|
Network File Server (NFS) Mount-Daemon; Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). |
|
Wird als Teil von NFS verwendet. Weitere Informationen finden Sie unter RFC 1094. Siehe auch RFC1813 für NFS v3. |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). |
|
Network Information Service Plus (NIS+), das NIS ersetzen soll; Es ist ein Standardbenennungsservice für Sun Solaris und nicht mit dem alten NIS verwandt. Protokollinformationen sind nicht verfügbar. |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). |
|
Netzwerksperr-Manager. |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
Kernel-Statistik-Server. Weitere Informationen finden Sie in den UNIX-Manpages für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
Wird verwendet, um eine Nachricht an Benutzer zu schreiben; Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
NIS-Bindungsprozess. Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
NIS-Passwortserver. Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
NIS-Server. Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
Tool zur Netzwerkaktualisierung. |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
|
NIS-Map-Transfer-Server. Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port Mapper Service auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt wurde, |
Die Unterstützung für Stateful Firewall- und NAT-Dienste, die die Portzuordnung verwenden, erfordert, dass Sie die RPC-Portzuordnung ALG auf TCP/UDP-Zielport 111 und die RPC-ALG sowohl für TCP als auch für UDP konfigurieren. Sie können einen oder mehrere rpc-program-number Werte angeben, um die zulässigen RPC-Protokolle weiter einzuschränken.
RTSP
Das Real-Time Streaming Protocol (RTSP) steuert die Bereitstellung von Daten mit Echtzeiteigenschaften wie Audio und Video. Die von RTSP gesteuerten Streams können RTP verwenden, dies ist jedoch nicht erforderlich. Medien können über denselben RTSP-Steuerstrom übertragen werden. Dies ist ein HTTP-ähnliches textbasiertes Protokoll, aber Client und Server verwalten Sitzungsinformationen. Eine Sitzung wird mit der SETUP-Nachricht aufgebaut und mit der TEARDOWN-Nachricht beendet. Der Transport (das Medienprotokoll, die Adresse und die Portnummern) wird im Setup und in der Setup-Antwort ausgehandelt.
Die Unterstützung für Stateful-Firewall- und NAT-Services erfordert, dass Sie das RTSP-ALG für TCP-Port 554 konfigurieren.
Der ALG überwacht die Steuerverbindung, öffnet Datenströme dynamisch für Medienstreams (RTP/RTSP) und führt NAT-Adressen- und Portumschreibungen durch.
SIP
Das Session Initiation Protocol (SIP) ist ein Protokoll auf Anwendungsebene, das Mediensitzungen aufbauen, aufrechterhalten und beenden kann. Es ist ein weit verbreitetes Voice over IP (VoIP)-Signalisierungsprotokoll. Das SIP ALG überwacht den SIP-Datenverkehr und erstellt und verwaltet dynamisch Pinholes auf den Signalisierungs- und Medienpfaden. Das ALG lässt nur Pakete mit den richtigen Berechtigungen zu. Das SIP ALG übernimmt außerdem folgende Funktionen:
Verwaltet Beziehungen zwischen übergeordneten und untergeordneten Sitzungen.
Erzwingt Sicherheitsrichtlinien.
Verwaltet Löcher für VoIP-Datenverkehr.
Das SIP ALG unterstützt folgende Funktionen:
Stateful Firewall
Statische Quelle NAT
Dynamische Adresse nur Quelle NAT
Network Address Port Translation (NAPT)
SIP-Sitzungen sind auf 12 Stunden (720 Minuten) für die NAT-Verarbeitung auf den MS-MIC- und MS-MPC-Schnittstellenkarten begrenzt. SIP-Sitzungen auf der MS-DPC haben keine zeitliche Begrenzung.
SNMP
SNMP ist ein Kommunikationsprotokoll zur Verwaltung von TCP/IP-Netzwerken, das sowohl einzelne Netzwerkgeräte als auch aggregierte Geräte umfasst. Das Protokoll ist durch RFC 1157 definiert. SNMP wird auf UDP ausgeführt.
Der Stateful-Firewall-Service von Junos OS implementiert die SNMP-ALG, um den SNMP-Typ zu überprüfen. SNMP erzwingt keinen zustandsbehafteten Datenstrom. Jeder SNMP-Typ muss speziell aktiviert werden. Die vollständige SNMP-Unterstützung von Stateful-Firewall-Services erfordert, dass Sie das SNMP-ALG auf dem UDP-Port 161 konfigurieren. Dadurch werden SNMP get und get-next Befehle sowie deren Antwortverkehr in umgekehrter Richtung aktiviert: UDP-Port 161 aktiviert den SNMP-Befehl get-response . Wenn SNMP-Traps zulässig sind, können Sie sie am UDP-Port 162 konfigurieren und den SNMP-Befehl trap aktivieren.
SQLNet
Das SQLNet-Protokoll wird von Oracle SQL-Servern verwendet, um SQL-Befehle von Clients auszuführen, einschließlich Load Balancing und anwendungsspezifischer Dienste.
Die Unterstützung von Stateful-Firewall- und NAT-Diensten erfordert, dass Sie das SQLNet-ALG für TCP-Port 1521 konfigurieren.
Der ALG überwacht die Steuerpakete, öffnet Datenströme dynamisch für den Datenverkehr und führt NAT-Adressen- und Portumschreibungen durch.
TFTP
Das Trivial File Transfer Protocol (TFTP) ist in RFC 1350 spezifiziert. Die ersten TFTP-Anforderungen werden an den UDP-Zielport 69 gesendet. Zusätzliche Flows können erstellt werden, um einzelne Dateien abzurufen oder abzulegen . Die Unterstützung von Stateful-Firewall- und NAT-Services erfordert, dass Sie das TFTP-ALG für den UDP-Zielport 69 konfigurieren.
Traceroute
Traceroute ist ein Tool zur Anzeige der Route, die Pakete zu einem Netzwerkhost nehmen. Es verwendet das Feld "IP-Time-to-Live (TTL), um ICMP-Meldungen über Zeitüberschreitungen von Routern oder Gateways auszulösen". Es sendet UDP-Datagramme an Zielports, von denen angenommen wird, dass sie nicht verwendet werden. Die Zielports werden mit der Formel nummeriert: + nHops – 1. Der Standard-Basisport ist 33434. Um Traceroute durch die Firewall zu unterstützen, müssen zwei Arten von Datenverkehr geleitet werden:
UDP-Probe-Pakete (UDP-Zielport > 33000, IP TTL < 30)
ICMP-Antwortpakete (ICMP-Typ überschritten)
Wenn NAT angewendet wird, müssen auch die IP-Adresse und der Port innerhalb des ICMP-Fehlerpakets geändert werden.
Für die Unterstützung von Stateful-Firewall- und NAT-Services müssen Sie die Traceroute ALG für die UDP-Zielports 33434 bis 33450 konfigurieren. Darüber hinaus können Sie den TTL-Schwellenwert konfigurieren, um UDP-Flood-Angriffe mit großen TTL-Werten zu verhindern.
UNIX Remote-Shell-Services
Drei Protokolle bilden die Grundlage für UNIX-Remote-Shell-Services:
Exec – Ausführung von Remotebefehlen; Ermöglicht es einem Benutzer auf dem Client-System, einen Befehl auf dem entfernten System auszuführen. Der erste Befehl von Client(
rcmd) zu Server(rshd) verwendet den bekannten TCP-Port 512. Eine zweite TCP-Verbindung kann auf Anfrage vonrcmdgeöffnet werden. Die Clientportnummer für die zweite Verbindung wird als ASCII-Zeichenfolge an den Server gesendet.Anmeldung: Besser bekannt als
rlogin; verwendet den bekannten TCP-Port 513. Weitere Informationen finden Sie unter RFC 1282. Es ist keine spezielle Firewall-Verarbeitung erforderlich.Shell: Ausführung von Remotebefehlen; Ermöglicht es einem Benutzer auf dem Client-System, einen Befehl auf dem entfernten System auszuführen. Der erste Befehl vom Client (
rcmd) zum Server (rshd) verwendet den bekannten TCP-Port 514. Eine zweite TCP-Verbindung kann auf Anfrage vonrcmdgeöffnet werden. Die Clientportnummer für die zweite Verbindung wird als ASCII-Zeichenfolge an den Server gesendet.
Die Unterstützung von Stateful-Firewall-Services erfordert, dass Sie die Exec ALG auf TCP-Port 512, die Anmelde-ALG auf TCP-Port 513 und die Shell-ALG auf TCP-Port 514 konfigurieren. NAT-Remote-Shell-Services erfordern, dass jeder zugewiesene dynamische Quellport innerhalb des Portbereichs 512 bis 1023 liegt. Wenn Sie einen NAT-Pool konfigurieren, ist dieser Portbereich ausschließlich Remote-Shell-Anwendungen vorbehalten.
WinFrame
Die WinFrame-Anwendungsserversoftware bietet Zugriff auf praktisch jede Windows-Anwendung über jede Art von Netzwerkverbindung zu jedem Client-Typ.
Dieses Protokoll wird hauptsächlich von Citrix Windows-Anwendungen verwendet.
Für Stateful Firewall und NAT muss der ALG-Winframe auf TCP-Zielport 1494 und UDP-Port 1604 konfiguriert sein.
Standardeinstellungen bei Juniper Networks
Das Junos OS bietet eine versteckte Standardkonfigurationsgruppe junos-defaults , die automatisch auf die Konfiguration Ihres Routers angewendet wird. Die junos-defaults Gruppe enthält vorkonfigurierte Anweisungen, die vordefinierte Werte für gängige Anwendungen enthalten. Auf einige der Anweisungen muss verwiesen werden, um wirksam zu werden, z. B. Anwendungen wie FTP oder Telnet. Andere Anweisungen werden automatisch angewendet, z. B. Terminaleinstellungen. Alle vorkonfigurierten Anweisungen beginnen mit dem reservierten Namen junos-.
Sie können die Standardkonfigurationswerte von Junos OS überschreiben, aber nicht löschen oder bearbeiten. Wenn Sie eine Konfiguration löschen, werden die Standardeinstellungen zurückgegeben, wenn eine neue Konfiguration hinzugefügt wird.
Sie können die apply-groups Anweisung nicht mit der Junos OS-Standardgruppe verwenden.
Um den vollständigen Satz verfügbarer Preset-Anweisungen aus der Junos OS-Standardgruppe anzuzeigen, geben Sie den Befehl configuration mode ein show groups junos-defaults . Im folgenden Beispiel wird die Liste der Junos OS-Standardgruppen angezeigt, die Anwendungsprotokolle (ALGs) verwenden:
user@host# show groups junos-defaults
applications {
#
# File Transfer Protocol
#
application junos-ftp {
application-protocol ftp;
protocol tcp;
destination-port 21;
}
#
# Trivial File Transfer Protocol
#
application junos-tftp {
application-protocol tftp;
protocol udp;
destination-port 69;
}
#
# RPC portmapper on TCP
#
application junos-rpc-portmap-tcp {
application-protocol rpc-portmap;
protocol tcp;
destination-port 111;
}
#
# RPC portmapper on UDP
#
application junos-rpc-portmap-udp {
application-protocol rpc-portmap;
protocol udp;
destination-port 111;
}
#
# SNMP get
#
application junos-snmp-get {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get;
}
#
# SNMP get next
#
application junos-snmp-get-next {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get-next;
}
#
# SNMP response
#
application junos-snmp-response {
application-protocol snmp;
protocol udp;
source-port 161;
snmp-command get-response;
}
#
# SNMP trap
#
application junos-snmp-trap {
application-protocol snmp;
protocol udp;
destination-port 162;
snmp-command trap;
}
#
# remote exec
#
application junos-rexec {
application-protocol exec;
protocol tcp;
destination-port 512;
}
#
# remote login
#
application junos-rlogin {
application-protocol shell;
protocol tcp;
destination-port 513;
}
#
# remote shell
#
application junos-rsh {
application-protocol shell;
protocol tcp;
destination-port 514;
}
#
# Real Time Streaming Protocol
#
application junos-rtsp {
application-protocol rtsp;
protocol tcp;
destination-port 554;
}
#
# Citrix windows application server protocol
# windows applications remotely on windows/non-windows clients
#
# citrix needs udp 1604 to be open
#
application junos-citrix-winframe {
application-protocol winframe;
protocol tcp;
destination-port 1494;
}
application junos-citrix-winframe-udp {
protocol udp;
destination-port 1604;
}
#
# Oracle SQL servers use this protocol to execute sql commands
# from clients, load balance, use application-specific servers, etc
#
application junos-sqlnet {
application-protocol sqlnet;
protocol tcp;
destination-port 1521;
}
#
# H.323 Protocol for audio/video conferencing
#
application junos-h323 {
application-protocol h323;
protocol tcp;
destination-port 1720;
}
application junos-h323-ras {
application-protocol ras;
protocol udp;
destination-port 1719;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# The ORB protocol in Java virtual machines uses port 1975 as default
#
application junos-iiop-java {
application-protocol iiop;
protocol tcp;
destination-port 1975;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# ORBIX is a CORBA framework from Iona Technologies that uses port
# 3075 as default
#
application junos-iiop-orbix {
application-protocol iiop;
protocol tcp;
destination-port 3075;
}
#
# Real players use this protocol for real time streaming
# This was the original protocol for real players.
# RTSP is more widely used by real players
# but they still support realaudio.
#
application junos-realaudio {
application-protocol realaudio;
protocol tcp;
destination-port 7070;
}
#
# traceroute application.
#
application junos-traceroute {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 30;
}
#
# The full range of known RPC programs using UDP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-udp {
application-protocol rpc;
protocol udp;
rpc-program-number 100000-400000;
}
#
# The full range of known RPC programs using TCP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-tcp {
application-protocol rpc;
protocol tcp;
rpc-program-number 100000-400000;
}
#
# All ICMP traffic
# This can be made to be more restrictive by specifying ICMP type
# and code.
#
application junos-icmp-all {
application-protocol icmp;
}
#
# Protocol used by Windows media server and windows media player
#
application junos-netshow {
application-protocol netshow;
protocol tcp;
destination-port 1755;
}
#
# NetBIOS - networking protocol used on
# Windows networks name service port, both UDP and TCP
#
application junos-netbios-name-udp {
application-protocol netbios;
protocol udp;
destination-port 137;
}
application junos-netbios-name-tcp {
protocol tcp;
destination-port 137;
}
#
# NetBIOS - networking protocol used on
# Windows networks datagram service port
#
application junos-netbios-datagram {
application-protocol netbios;
protocol udp;
destination-port 138;
}
#
# NetBIOS - networking protocol used on
# Windows networks session service port
#
application junos-netbios-session {
protocol tcp;
destination-port 139;
}
#
# DCE-RPC portmapper on TCP
#
application junos-dce-rpc-portmap {
application-protocol dce-rpc-portmap;
protocol tcp;
destination-port 135;
}
#
# DCE-RPC application on TCP sample UUID
# This application requires user to specify the UUID value
#
# application junos-dcerpc {
# application-protocol dce-rpc;
# protocol tcp;
#
# # UUID also needs to be defined as shown below
# UUID 11223344 22334455 33445566 44556677;
#
# }
#
# ms-exchange needs these 3 UUIDs
#
application junos-dcerpc-endpoint-mapper-service {
application-protocol dce-rpc;
protocol tcp;
uuid e1af8308-5d1f-11c9-91a4-08002b14a0fa;
}
application junos-dcerpc-msexchange-directory-rfr {
application-protocol dce-rpc;
protocol tcp;
uuid 1544f5e0-613c-11d1-93df-00c04fd7bd09;
}
application junos-dcerpc-msexchange-information-store {
application-protocol dce-rpc;
protocol tcp;
uuid a4f1db00-ca47-1067-b31f-00dd010662da;
}
application junos-ssh {
protocol tcp;
destination-port 22;
}
application junos-telnet {
protocol tcp;
destination-port 23;
}
application junos-smtp {
protocol tcp;
destination-port 25;
}
application junos-dns-udp {
protocol udp;
destination-port 53;
}
application junos-dns-tcp {
protocol tcp;
destination-port 53;
}
application junos-tacacs {
protocol tcp;
destination-port 49;
}
# TACACS Database Service
application junos-tacacs-ds {
protocol tcp;
destination-port 65;
}
application junos-dhcp-client {
protocol udp;
destination-port 68;
}
application junos-dhcp-server {
protocol udp;
destination-port 67;
}
application junos-bootpc {
protocol udp;
destination-port 68;
}
application junos-bootps {
protocol udp;
destination-port 67;
}
application junos-finger {
protocol tcp;
destination-port 79;
}
application junos-http {
protocol tcp;
destination-port 80;
}
application junos-https {
protocol tcp;
destination-port 443;
}
application junos-pop3 {
protocol tcp;
destination-port 110;
}
application junos-ident {
protocol tcp;
destination-port 113;
}
application junos-nntp {
protocol tcp;
destination-port 119;
}
application junos-ntp {
protocol udp;
destination-port 123;
}
application junos-imap {
protocol tcp;
destination-port 143;
}
application junos-imaps {
protocol tcp;
destination-port 993;
}
application junos-bgp {
protocol tcp;
destination-port 179;
}
application junos-ldap {
protocol tcp;
destination-port 389;
}
application junos-snpp {
protocol tcp;
destination-port 444;
}
application junos-biff {
protocol udp;
destination-port 512;
}
# UNIX who
application junos-who {
protocol udp;
destination-port 513;
}
application junos-syslog {
protocol udp;
destination-port 514;
}
# line printer daemon, printer, spooler
application junos-printer {
protocol tcp;
destination-port 515;
}
# UNIX talk
application junos-talk-tcp {
protocol tcp;
destination-port 517;
}
application junos-talk-udp {
protocol udp;
destination-port 517;
}
application junos-ntalk {
protocol udp;
destination-port 518;
}
application junos-rip {
protocol udp;
destination-port 520;
}
# INA sanctioned RADIUS port numbers
application junos-radius {
protocol udp;
destination-port 1812;
}
application junos-radacct {
protocol udp;
destination-port 1813;
}
application junos-nfsd-tcp {
protocol tcp;
destination-port 2049;
}
application junos-nfsd-udp {
protocol udp;
destination-port 2049;
}
application junos-cvspserver {
protocol tcp;
destination-port 2401;
}
#
# Label Distribution Protocol
#
application junos-ldp-tcp {
protocol tcp;
destination-port 646;
}
application junos-ldp-udp {
protocol udp;
destination-port 646;
}
#
# JUNOScript and JUNOScope management
#
application junos-xnm-ssl {
protocol tcp;
destination-port 3220;
}
application junos-xnm-clear-text {
protocol tcp;
destination-port 3221;
}
#
# IPsec tunnel
#
application junos-ipsec-esp {
protocol esp;
}
#
#IKE application for IPSec VPN
#
application junos-ike {
application-protocol ike-esp-nat;
protocol udp;
destination-port 500;
}
#
# 'junos-algs-outbound' defines a set of all applications
# requiring an ALG. Useful for defining rule to the the public
# internet allowing private network users to use all JUNOS OS
# supported ALGs initiated from the private network.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-algs-outbound {
application junos-ftp;
application junos-tftp;
application junos-rpc-portmap-tcp;
application junos-rpc-portmap-udp;
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-rexec;
application junos-rlogin;
application junos-rsh;
application junos-rtsp;
application junos-citrix-winframe;
application junos-citrix-winframe-udp;
application junos-sqlnet;
application junos-h323;
application junos-iiop-java;
application junos-iiop-orbix;
application junos-realaudio;
application junos-traceroute;
application junos-rpc-services-udp;
application junos-rpc-services-tcp;
application junos-icmp-all;
application junos-netshow;
application junos-netbios-name-udp;
application junos-netbios-datagram;
application junos-dcerpc-endpoint-mapper-service;
application junos-dcerpc-msexchange-directory-rfr;
application junos-dcerpc-msexchange-information-store;
}
#
# 'junos-management-inbound' represents the group of applications
# that might need access the router from public network for
# for management purposes.
#
# Set is intended for a UI to display management choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set may grow in future JUNOS versions.
#
application-set junos-management-inbound {
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-ssh;
application junos-telnet;
application junos-http;
application junos-https;
application junos-xnm-ssl;
application junos-xnm-clear-text;
}
#
# 'junos-routing-inbound' represents routing protocols that might
# need to access the router from public network.
#
# Set is intended for a UI to display routing involvement choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-routing-inbound {
application junos-bgp;
application junos-rip;
application junos-ldp-tcp;
application junos-ldp-udp;
}
application-set junos-h323-suite {
application junos-h323-ras,
application junos-h323;
}
}
Um auf in der junos-defaults Gruppe verfügbare Anweisungen zu verweisen, schließen Sie die ausgewählte junos-default-name Anweisung auf der entsprechenden Hierarchieebene ein. Informationen zum Konfigurieren von Anwendungsprotokollen finden Sie unter Konfigurieren von Anwendungseigenschaften. Weitere Informationen zu einem bestimmten Protokoll finden Sie unter ALG-Beschreibungen.
Beispiele: Verweisen auf die Preset-Anweisung aus der Junos OS Default-Gruppe
Das folgende Beispiel ist eine Preset-Anweisung aus den Junos OS-Standardgruppen, die für FTP in einer Stateful-Firewall verfügbar ist:
[edit]
groups {
junos-defaults {
applications {
application junos-ftp { # Use FTP default configuration
application-protocol ftp;
protocol tcp;
destination-port 21;
}
}
}
Um auf eine voreingestellte Junos OS-Standardanweisung aus den Junos OS-Standardgruppen zu verweisen, fügen Sie die junos-default-name Anweisung auf der entsprechenden Hierarchieebene ein. Wenn Sie beispielsweise in einer Stateful-Firewall auf die Junos OS-Standardanweisung für FTP verweisen möchten, schließen Sie die junos-ftp Anweisung auf Hierarchieebene [edit services stateful-firewall rule rule-name term term-name from applications] ein.
[edit]
services {
stateful-firewall {
rule my-rule {
term my-term {
from {
applications junos-ftp; #Reference predefined statement, junos-ftp,
}
}
}
}
}
Das folgende Beispiel zeigt die Konfiguration der standardmäßigen Junos-IP-ALG:
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications junos-ip;
}
then {
accept;
syslog;
}
}
}
}
}
Wenn Sie die IP-ALG in der Stateful-Firewall-Regel konfigurieren, wird sie von jedem IP-Datenverkehr abgeglichen, aber wenn eine andere, spezifischere Anwendung mit demselben Datenverkehr übereinstimmt, wird die IP-ALG nicht abgeglichen. In der folgenden Konfiguration sind beispielsweise sowohl die ICMP-ALG als auch die IP-ALG konfiguriert, aber der Datenverkehr wird für ICMP-Pakete abgeglichen, da es sich um die spezifischere Übereinstimmung handelt.
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications [ junos-ip junos-icmp-all ];
}
then {
accept;
syslog;
}
}
}
}
}
Siehe auch
ICMP-, Ping- und Traceroute-ALGs für MS-MICs und MS-MPCs
Ab Junos OS Version 14.2 bieten die auf MS-MIC und MS-MPC vorinstallierten und vorkonfigurierten Junos OS-Erweiterungsanbieterpakete Unterstützung für Ping-, Traceroute- und ICMP-ALGs in einer konsistenten Weise, die mit der Unterstützung des uKernel-Dienstes identisch ist. Für diese ALGs wird eine Parität und Einheitlichkeit der Unterstützung zwischen MS-MICs/MS-MPCs und dem uKernel-Dienst hergestellt. Bis Version 14.1 von Junos OS wurden ICMP-ALGs, Ping-ALGs und Traceroute-ALGs auf Routern der MX-Serie mit MS-MICs und MS-MPCs nicht vollständig unterstützt, im Vergleich zum uKernel-Dienst, der Network Address Translation (NAT) mit Stateful Firewall (SFW) auf dem uKernel-PIC ermöglicht. Unterstützung bestand für die Verarbeitung von ICMP-Fehlerantwortpaketen, die mit einem bestehenden Datenfluss in die entgegengesetzte Richtung übereinstimmen, sowie für die NAT-Verarbeitung von ICMP-Paketen mit der NAT-Verarbeitung von Ping-Paketen.
Auf Routern der MX-Serie mit MS-MICs und MS-MPCs wird die Verfolgung des Ping-Datenverkehrsstatus vollständig unter Verwendung der ICMP-Sequenznummern unterstützt (z. B. das Weiterleiten einer Echoantwort nur, wenn die Echoanforderung mit der entsprechenden Sequenznummer identifiziert wird). Das ICMP Application Layer Gateway (ALG) wurde erweitert, um detaillierte Protokollierungsinformationen bereitzustellen. Außerdem ermöglichen die Traceroute-ALGs die Verarbeitung von UDP-Probe-Paketen mit einer UDP-Zielportnummer von mehr als 33000 und einer IP-Time-to-Live (TTL) von weniger als 30 Sekunden. Traceroute-ALGs ermöglichen die Verarbeitung von ICMP-Antwortpaketen, bei denen die Zeit des ICMP-Typs überschritten wird, und unterstützen einen Traceroute-TTL-Schwellenwert, der den akzeptablen Grad der Netzwerkdurchdringung für das Trace-Routing steuert.
Sie können ICMP- und Ping-Nachrichten mit den application junos-icmp-allAnweisungen , application junos-icmp-ping, und application icmp-code auf den [edit services stateful-firewall rule rule-name term term-name from] [edit services nat rule rule-name term term-name from] Hierarchieebenen konfigurieren, um die Übereinstimmungsbedingung für die Stateful-Firewall- und NAT-Regeln zu definieren. Bis Version 14.1 von Junos OS war keine Einschränkung oder Überprüfung der Anwendungen vorhanden, die Sie für ICMP-Nachrichten definieren konnten. MS-MICs und MS-MPCs funktionieren genauso wie der uKernel-Dienst, der bewirkt, dass der Ping-Datenverkehr mithilfe der ICMP-Sequenznummern zustandsbehaftet verfolgt wird (eine Echoantwort wird nur weitergeleitet, wenn die Echoanforderung mit der entsprechenden Sequenznummer übereinstimmt). Außerdem legen MS-MICs und MS-MPCs ein Limit für die ausstehenden Ping-Anforderungen fest und löschen die nachfolgenden Ping-Anfragen, wenn das Limit erreicht ist.
Auf ähnliche Weise können Sie für Traceroute-Nachrichten die application junos-traceroute application junos-traceroute-ttl-1 und-Anweisungen auf und [edit services stateful-firewall rule rule-name term term-name from] den [edit services nat rule rule-name term term-name from] Hierarchieebenen konfigurieren, um die Übereinstimmungsbedingung für Traceroute-Nachrichten für die Stateful-Firewall- und NAT-Regeln zu definieren.
Traceroute- und ICMP-Nachrichten werden sowohl für IPv4- als auch für IPv6-Pakete unterstützt. Damit die Traceroute-Funktionalität funktioniert, müssen Sie nur sicherstellen, dass die benutzerdefinierten Anwendungen mit dem Inaktivitäts-Timeout wie erwartet funktionieren und die TTL-Schwellenwerte so konfiguriert sind, dass sie dem gleichen Zeitraum entsprechen wie mit der session-timeout seconds Anweisung auf Hierarchieebene [edit services application-identification application application-name] . Während der Protokollierung von ICMP-Nachrichten werden die ALG-Informationen für die Dienstprogramme ping und ICMP in der Ausgabe der entsprechenden show-Befehle show sessions wie und show conversationsauf die gleiche Weise angezeigt wie für die uKernel-Protokollierung.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.