ALG Übersicht
ALG-Beschreibungen
In diesem Thema werden die Anwendungsebene Gateways (ALGs) beschrieben, die von Junos OS unterstützt werden. Die ALG-Unterstützung umfasst die Verwaltung von Pinholes und über- und untergeordneten Beziehungen für die unterstützten ALGs.
- Unterstützte ALGs
- ALG-Support-Details
- Juniper Networks Standardeinstellungen
- Beispiele: Verweisen auf die Preset-Anweisung aus der Junos OS-Standardgruppe
Unterstützte ALGs
Tabelle 1 listet ALGs auf, die von Junos OS unterstützt werden. Informationen dazu, welche ALGs auf MS-DPCs, MS-MPCs und MS-MICs unterstützt werden, finden Sie unter Für Junos OS Address Aware NAT verfügbare ALGs.
Unterstützte ALGs |
v4 - v4 |
v6 bis v4 |
v6 - v6 |
DS-Lite (Die Unterstützung für ALGs mit DS-lite auf MS-MPC und MS-MIC beginnt in Junos OS Version 18.1R1) |
|---|---|---|---|---|
Grundlegendes TCP ALG |
Ja |
Ja |
Ja |
Ja |
Basis-UPD ALG |
Ja |
Ja |
Ja |
Ja |
BOOTP |
Ja |
Nein |
Nein |
Nein |
DCE RPC-Services |
Ja |
Nein |
Nein |
Nein |
DNS |
Ja |
Ja |
Nein |
Ja |
FTP |
Ja |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Ja |
Gatekeeper RAS |
Ja (ab Junos OS Version 17.1R1) |
Ja (ab Junos OS Version 17.2R1) |
Nein |
Nein |
H323-KARTON |
Ja |
Ja (ab Junos OS Version 17.2R1) |
Nein |
Nein |
ICMP |
Ja |
Ja |
Ja |
Ja |
IKE ALG (ab Junos OS Version 14.2R7, 15.1R5, 16.1R2 und 17.1R1) |
Ja |
Ja |
Nein |
Nein |
IIOP |
Ja |
Nein |
Nein |
Nein |
IP |
Ja |
Nein |
Nein |
Nein |
NETBIOS |
Ja |
Nein |
Nein |
Nein |
NETSHOW |
Ja |
Nein |
Nein |
Nein |
PPTP (PPTP) |
Ja |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Ja |
REALAUDIO |
Ja |
Nein |
Nein |
Nein |
Sun RPC und RPC-Portzuordnungsservices |
Ja |
Nein |
Nein |
Nein |
RTSP |
Ja |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Ja |
NIPPEN |
Ja |
Ja (ab Junos OS Version 14.1R1) |
Nein |
SIP wird für DS-Lite auf MS-MPC und MS-MIC ab Junos OS Version 18.2R1 unterstützt. |
SNMP |
Ja |
Nein |
Nein |
Nein |
SQLNET |
Ja |
Nein |
Nein |
Nein |
TFTP |
Ja |
Ja (ab Junos OS Version 14.1R1) |
Nein |
Ja |
Traceroute |
Ja |
Ja |
Nein |
Ja |
Unix Remote Shell Service |
Ja |
Nein |
Nein |
Nein |
WINFrame |
Ja |
Nein |
Nein |
Nein |
ALG-Support-Details
Dieser Abschnitt enthält Details zu den ALGs. Es umfasst Folgendes:
- Grundlegendes TCP ALG
- Grundlegendes UDP ALG
- BOOTP
- DCE RPC-Services
- DNS
- FTP
- Gatekeeper RAS
- H323-KARTON
- ICMP
- IIOP
- IKE ALG
- IP
- NetBIOS
- NetShow
- ONC RPC-Services
- PPTP (PPTP)
- RealAudio
- Sun RPC und RPC Portmap Services
- RTSP
- NIPPEN
- SNMP
- SQLNet
- TFTP
- Traceroute
- UNIX-Remoteshell-Dienste
- WinFrame
Grundlegendes TCP ALG
Dieses ALG führt eine grundlegende Plausibilitätsprüfung für TCP-Pakete durch. Wenn Fehler gefunden werden, werden die folgenden Anomalieereignisse und Systemprotokollmeldungen generiert:
TCP-Quell- oder Zielport Null
Die Überprüfung der TCP-Headerlänge ist fehlgeschlagen
TCP-Sequenznummer Null und keine Flags sind gesetzt
TCP-Sequenznummer Null und FIN/PSH/RST-Flags sind gesetzt
TCP FIN/RST oder SYN(URG|FIN|RST) werden Flags gesetzt
Das TCP-ALG führt die folgenden Schritte aus:
Wenn der Router ein SYN-Paket empfängt, erstellt der ALG TCP-Vorwärts- und -Rückwärtsflüsse und gruppiert sie in einer Konversation. Er verfolgt den TCP-Drei-Wege-Handshake.
Der SYN-Abwehrmechanismus verfolgt den Status des TCP-Verbindungsaufbaus. Es erwartet, dass die TCP-Sitzung innerhalb eines kleinen Zeitintervalls (derzeit 4 Sekunden) eingerichtet wird. Wenn der TCP-Drei-Wege-Handshake in diesem Zeitraum nicht eingerichtet wird, wird die Sitzung beendet.
Ein Keepalive-Mechanismus erkennt TCP-Sitzungen mit nicht reagierenden Endgeräten.
ICMP-Fehler sind nur zulässig, wenn ein Datenfluss mit den in den ICMP-Daten angegebenen Selektorinformationen übereinstimmt.
Grundlegendes UDP ALG
Dieses ALG führt eine grundlegende Plausibilitätsprüfung für UDP-Header durch. Wenn Fehler gefunden werden, werden die folgenden Anomalieereignisse und Systemprotokollmeldungen generiert:
UDP-Quell- oder Zielport 0
Die Prüfung der UDP-Headerlänge ist fehlgeschlagen
Das UDP-ALG führt die folgenden Schritte aus:
Wenn das erste Paket empfangen wird, erstellt die ALG bidirektionale Datenströme, um Vorwärts- und Rückwärts-UDP-Sitzungsdatenverkehr zu akzeptieren.
Wenn sich die Sitzung länger als die maximal zulässige Leerlaufzeit im Leerlauf befindet (der Standardwert beträgt 30 Sekunden), werden die Flows gelöscht.
ICMP-Fehler sind nur zulässig, wenn ein Datenfluss mit den in den ICMP-Daten angegebenen Selektorinformationen übereinstimmt.
BOOTP
Der Bootstrap Protocol (BOOTP)-Client ruft seine Netzwerkinformationen von einem Server im gesamten Netzwerk ab. Es sendet eine allgemeine Broadcast-Nachricht, um die Informationen anzufordern, die vom BOOTP-Server zurückgegeben werden. Informationen zur Protokollspezifikation finden Sie unter ftp://ftp.isi.edu/in-notes/rfc951.txt.
Die Unterstützung für zustandsbehaftete Firewalls erfordert, dass Sie BOOTP ALG auf UDP-Serverport 67 und Clientport 68 konfigurieren. Wenn der Client eine Broadcast-Nachricht sendet, sollten Sie die Broadcast-Adresse in der from Anweisung der Dienstregel konfigurieren. Network Address Translation (NAT) wird für den BOOTP-Datenverkehr nicht ausgeführt, auch wenn die NAT-Regel mit dem Datenverkehr übereinstimmt. Wenn die BOOTP-Relay-Funktion auf dem Router aktiviert ist, wird davon ausgegangen, dass der Remote-BOOTP-Server Adressen für Clients zuweist, die durch NAT-Übersetzung maskiert sind.
DCE RPC-Services
DCE-RPC-Dienste (Remote Procedure Call) für verteilte Computerumgebungen werden hauptsächlich von Microsoft-Anwendungen verwendet. Das ALG verwendet den bekannten TCP-Port 135 für Portzuordnungsdienste und verwendet den Universal Unique Identifier (UUID) anstelle der Programmnummer zur Identifizierung von Protokollen. Das wichtigste anwendungsbasierte DCE-RPC ist das Microsoft Exchange-Protokoll.
Die Unterstützung für zustandsbehaftete Firewall- und NAT-Dienste erfordert, dass Sie die DCE-RPC-Portzuordnung ALG auf TCP-Port 135 konfigurieren. Das DCE RPC ALG verwendet das TCP-Protokoll mit anwendungsspezifischen UUIDs.
DNS
Das Domain Name System (DNS), das in der Regel auf Port 53 ausgeführt wird, verarbeitet die Daten, die mit dem Auffinden und Übersetzen von Domainnamen in IP-Adressen verbunden sind. Das DNS ALG der MX-Serie überwacht die DNS-Abfrage- und Antwortpakete und unterstützt UDP- und TCP-DNS-Datenverkehr unabhängig voneinander. Die DNS-ALG unterstützt keine Nutzlastübersetzungen für NAT, aber ein Betreiber kann sie verwenden, um die NAT- oder Stateful-Firewall-DNS-Sitzungen effizient aus dem Speicher zu entfernen, nachdem der DNS-Server seine Antwort gesendet hat. Das DNS-ALG schließt die Sitzung nur, wenn eine Antwort empfangen wird oder ein Leerlauftimeout erreicht wird.
Bei Verwendung von TCP-DNS-ALG kann es zu Problemen mit dem TCP-DNS-Datenverkehr kommen, wenn der DNS-Datenverkehr nicht nur dem Standardanforderungs- und Antworttyp entspricht. Beispielsweise kann TCP-DNS-ALG die DNS-Server-zu-Server-Kommunikation unterbrechen, die TCP verwendet, z. B. DNS-Replikation oder Zonenübertragungen. Diese Art von Datenverkehr kann von den NAT- oder Stateful-Firewall-Plug-ins verworfen werden, da TCP-DNS-ALG die Sitzung schließt, nachdem der TCP-Handshake abgeschlossen ist und jeder Server ein Paket an den anderen gesendet hat. Verwenden Sie in diesen Fällen nicht die TCP-DNS-ALG.
Das TCP-DNS-ALG wird auf den MS-DPC-Servicekarten nicht unterstützt.
FTP
FTP ist das File Transfer Protocol, spezifiziert in RFC 959. Neben der Hauptsteuerungsverbindung werden auch Datenverbindungen für jede Datenübertragung zwischen Client und Server hergestellt. und der Host, der Port und die Richtung werden über den Steuerkanal ausgehandelt.
Bei FTP im nicht-passiven Modus durchsucht der Junos OS Stateful-Firewall-Dienst die Client-to-Server-Anwendungsdaten nach dem Befehl PORT, der die IP-Adresse und die Portnummer bereitstellt, mit der der Server eine Verbindung herstellt. Bei FTP im passiven Modus durchsucht der Junos OS Stateful-Firewall-Service die Client-zu-Server-Anwendungsdaten nach dem PASV-Befehl und dann die Server-zu-Client-Antworten nach der Antwort 227, die die IP-Adresse und die Portnummer enthält, mit der der Client eine Verbindung herstellt.
Es gibt noch eine weitere Komplikation: FTP stellt diese Adressen und Portnummern in ASCII dar. Wenn Adressen und Ports umgeschrieben werden, kann sich daher die TCP-Sequenznummer ändern, und danach muss der NAT-Dienst dieses Delta in SEQ- und ACK-Nummern beibehalten, indem er Sequenz-NAT für alle nachfolgenden Pakete ausführt.
Für die Unterstützung von Stateful Firewall- und NAT-Services müssen Sie das FTP-ALG an TCP-Port 21 konfigurieren, um das FTP-Steuerungsprotokoll zu aktivieren. Das ALG führt folgende Aufgaben aus:
Automatische Zuweisung von Datenports und Firewall-Berechtigungen für dynamische Datenverbindungen
Erstellt Flows für die dynamisch ausgehandelte Datenverbindung
Überwacht die Steuerverbindung sowohl im aktiven als auch im passiven Modus
Schreibt die Steuerpakete mit der entsprechenden NAT-Adresse und den Portinformationen um
Auf MS-MPCs und MS-MICs müssen Sie die aktivierte APP-Funktionalität (Address Pooling Pairing) aktivieren (indem Sie die Anweisung auf der Hierarchieebene einschließen[edit services nat rule rule-name term term-name from]), damit passives FTP ordnungsgemäß funktioniert, wenn FTP Application Layer Gateway (ALG) aktiviert application junos-ftp ist (indem Sie die address-pooling Anweisung auf der [edit services nat rule rule-name term term-name then translated] Hierarchieebene einschließen).[edit services stateful-firewall rule rule-name term term-name from] Eine solche Konfiguration führt dazu, dass die Daten- und Steuer-FTP-Sitzungen dieselbe NAT-Adresse erhalten.
Gatekeeper RAS
Ab Junos OS Version 17.1R1 ermöglicht das Gatekeeper-ALG für die Registrierung, Verwaltung und den Status (RAS) die vollständige Unterstützung des Gatekeeper-Modus für H.323-Anrufe. Ein Endpunkt registriert sich bei einem Gatekeeper und fordert seine Verwaltung an. Bevor ein Endpunkt einen Aufruf tätigt, bittet er seinen Gatekeeper um Erlaubnis, den Anruf zu tätigen. Sowohl in der Anmelde- als auch in der Zulassungsphase wird der RAS-Kanal genutzt. Verwenden Sie das Gatekeeper RAS ALG und das H323 ALG in IPv4- und IPv6-Stateful-Firewall-Regeln oder NAPT-44-Regeln. Ab Junos OS Version 17.2R1 werden auch NAT-64-Regeln unterstützt. Der Junos-Standardanwendungssatz junos-h323-suite umfasst den H323 ALG und den Gatekeeper RAS ALG.
H323-KARTON
H323 ist eine Suite von ITU-Protokollen für Audio- und Videokonferenzen und Anwendungen zur Zusammenarbeit. H323 besteht aus H.225-Rufsignalisierungsprotokollen und H.245-Steuerungsprotokollen für die Medienkommunikation. Während der H.225-Aushandlung erstellen die Endpunkte einen Anruf, indem sie Anrufsignalisierungsnachrichten auf dem Steuerungskanal austauschen, und handeln einen neuen Steuerkanal für H.245 aus. Für H.245-Nachrichten wird eine neue Steuerverbindung erstellt. Nachrichten werden über den H.245-Steuerkanal ausgetauscht, um Medienkanäle zu öffnen.
Die zustandsbehaftete Firewall überwacht den H.225-Steuerkanal, um den H.245-Steuerkanal zu öffnen. Nachdem der H.245-Kanal erstellt wurde, überwacht die zustandsbehaftete Firewall auch diesen Kanal auf Medienkanalinformationen und lässt den Mediendatenverkehr durch die Firewall zu.
H323 ALG unterstützt statische Ziel-, statische und dynamische Quellen-NAT, indem die entsprechenden Adressen und Ports in den H.225- und H.245-Nachrichten umgeschrieben werden.
Um den Gatekeeper-Modus für H.323-Anrufe zu unterstützen, verwenden Sie das H323 ALG und das Gatekeeper-RAS-ALG in IPv4- und IPv6-Stateful-Firewall-Regeln oder NAPT-44-Regeln. Ab Junos OS Version 17.2R1 werden auch NAT-64-Regeln unterstützt. Der Junos-Standardanwendungssatz junos-h323-suite umfasst den H323 ALG und den Gatekeeper RAS ALG.
ICMP
Das Internet Control Message Protocol (ICMP) ist in RFC 792 definiert. Mit dem Stateful-Firewall-Service für Junos OS können ICMP-Nachrichten nach einem bestimmten Typ oder einem bestimmten Typcodewert gefiltert werden. ICMP-Fehlerpakete, für die kein spezifisch konfigurierter Typ und Code fehlen, werden mit jedem vorhandenen Datenfluss in die entgegengesetzte Richtung abgeglichen, um die Rechtmäßigkeit des Fehlerpakets zu überprüfen. ICMP-Fehlerpakete, die den Filterabgleich bestehen, unterliegen der NAT-Übersetzung.
Das ICMP-ALG verfolgt den Ping-Datenverkehr immer zustandsbasiert anhand der ICMP-Sequenznummer. Jede Echoantwort wird nur weitergeleitet, wenn eine Echoanforderung mit der entsprechenden Sequenznummer vorliegt. Bei jedem Ping-Flow können nur 20 Echoanforderungen weitergeleitet werden, ohne eine Echoantwort zu erhalten. Wenn Sie dynamisches NAT konfigurieren, wird die PING-Paket-ID übersetzt, damit zusätzliche Hosts im NAT-Pool dieselbe ID verwenden können.
Die Unterstützung für Stateful-Firewall- und NAT-Services erfordert, dass Sie das ICMP-ALG konfigurieren, wenn das Protokoll benötigt wird. Sie können den ICMP-Typ und -Code für zusätzliche Filterung konfigurieren.
IIOP
Der Oracle Application Server Name Server Internet Inter-ORB Protocol (IIOP). Dieses ALG wird in der Common Object Request Broker Architecture (CORBA) verwendet, die auf verteiltem Computing basiert. Obwohl es sich bei CORBA und IIOP um OMG-Standards (Object Management Group) handelt, wird IIOP kein fester Port zugewiesen. Jeder Anbieter, der CORBA implementiert, wählt einen Port aus. Die virtuelle Java-Maschine verwendet standardmäßig Port 1975, während ORBIX standardmäßig Port 3075 verwendet.
Stateful-Firewall und NAT erfordern die Konfiguration von ALG IIOP für TCP-Port 1975 für Java-VM-IIOP und 3075 für CORBA-Anwendungen ORBIX, ein CORBA-Framework von Iona Technologies.
IKE ALG
Vor Junos OS-Version 17.4R1 wurde Network Address Translation-Traversal (NAT-T) für die IPsec-Funktionen der Junos VPN Site Secure-Suite auf den Routern der MX-Serie nicht unterstützt. Ab Junos OS Version 14.2R7, 15.1R5, 16.1R2 und 17.1R1 ermöglicht das IKE ALG die Übergabe von IKEv1- und IPsec-Paketen über NAPT-44- und NAT64-Regeln zwischen IPsec-Peers, die nicht NAT-T-konform sind. Dieses ALG unterstützt nur den ESP-Tunnelmodus.
Verwenden Sie dieses ALG in NAT-Regeln, und geben Sie das UDP-Protokoll und Port 500 an.
Dieses ALG führt Folgendes aus:
Verfolgt IKEv1-Verbindungsinitiierungsanforderungen, um zu bestimmen, ob eine NAT-Verarbeitung erforderlich ist.
Führt eine NAT-Übersetzung für ausgehende und eingehende IKEv1-Anforderungen durch und erstellt IKE-Sitzungen.
Identifiziert IPsec-Pakete, die sich auf die eingerichtete IKE-Sitzung beziehen, und stellt Sicherheitszuordnung zwischen Peers her.
Führt eine NAT-Übersetzung für IPsec-Pakete durch.
IP
Die IP-ALG wird nur zum Erstellen unidirektionaler Datenströme verwendet. Im Falle von TCP-Datenverkehr wird der 3-Wege-Handshake-Prozess nicht überprüft. Dieses ALG ist nützlich bei reinen Stateful-Firewall-Servicesätzen, bei denen der Datenverkehr nur unidirektional fließen kann. Bei der Konfiguration in Verbindung mit match-direction input-output ermöglicht es dem Rückverkehr, auch durch die Stateful-Firewall zu fließen. Typische Szenarien sind statisches NAT, Ziel-NAT oder Szenarien, in denen der Datenverkehr die Stateful-Firewall bei asymmetrischem Routing passieren soll. Die Junos IP-ALG ist nicht für die Verwendung mit NAPT vorgesehen, bei dem übereinstimmender Datenverkehr durch die Erstellung eines Drop-Flows verworfen wird.
NetBIOS
Ein NetBIOS-ALG übersetzt NetBIOS-IP-Adressen und Portnummern, wenn NAT verwendet wird.
NetBIOS unterstützt die Übertragungsprotokolle TCP und UDP. Die Unterstützung für Stateful-Firewall- und NAT-Dienste erfordert, dass Sie das NetBIOS-ALG auf UDP-Port 138 und TCP-Port 139 konfigurieren.
NetShow
Das Microsoft-Protokoll ms-streaming wird von NetShow, dem Microsoft-Medienserver, verwendet. Dieses Protokoll unterstützt mehrere Transportprotokolle: TCP, UDP und HTTP. Der Client startet eine TCP-Verbindung auf Port 1755 und sendet den PORT-Befehl an den Server. Der Server startet dann UDP auf diesem Port zum Client. Für die Unterstützung von Stateful-Firewalls und NAT-Services ist es erforderlich, dass Sie NetShow ALG auf UDP-Port 1755 konfigurieren.
ONC RPC-Services
Open Networks Computing (ONC)-RPC-Services funktionieren ähnlich wie DCE-RCP-Services. Der ONC RPC ALG verwendet jedoch den TCP/UDP-Port 111 für Portzuordnungsdienste und verwendet zur Identifizierung von Protokollen die Programmnummer anstelle der UUID.
Die Unterstützung für Stateful-Firewall- und NAT-Services erfordert, dass Sie die ONC RPC-Portzuordnung ALG auf TCP-Port 111 konfigurieren. Das ONC RPC ALG verwendet das TCP-Protokoll mit anwendungsspezifischen Programmnummern.
PPTP (PPTP)
Das Point-to-Point Tunneling Protocol (PPTP) ALG ist ein TCP-basiertes ALG. PPTP ermöglicht das Point-to-Point Protocol (PPP) das Tunneln durch ein IP-Netzwerk. PPTP definiert eine Client-Server-Architektur, einen PPTP-Netzwerkserver und einen PPTP-Zugriffskonzentrator. Das PPTP-ALG benötigt eine Steuerverbindung und einen Datentunnel. Die Steuerverbindung verwendet TCP zum Einrichten und Trennen von PPP-Sitzungen und wird auf Port 1723 ausgeführt. Der Datentunnel überträgt PPP-Datenverkehr in GRE-Paketen (Generic Routing Encapsulated), die über IP übertragen werden.
RealAudio
Real Networks PNA-Protokoll RealVideo ist kein separater Dienst. Er ist Teil des RealPlayers und verwendet höchstwahrscheinlich einen anderen Kanal für Videos. Die RealPlayer-Versionen G2, 7 und 8 verwenden PNA und RTSP. Damit diese Version funktioniert, muss das ALG sowohl PNA(7070) als auch RTSP(554) zulassen. Für die Medien wählt der Server aus einer Reihe von UDP-Ports (6970 bis 7170) oder TCP-Port 7071 oder HTTP aus. Der Client kann für die Verwendung eines bestimmten Ports konfiguriert werden. Die RealPlayer-Versionen 4.0 und 5.0 verwenden die UDP-Ports 6970 bis 7170 des Steuerkanals 7070 oder den TCP-Port 7071 oder HTTP. RealAudio Player Version 3.0 verwendet den Steuerkanal 7070 Medien, die UDP-Ports 6770-7170 oder den TCP-Port 7071.
Reale Produkte verwenden die in Tabelle 2 aufgeführten Ports und Portbereiche.
Echtes Produkt |
Portverwendung |
|---|---|
4.0 und 5.0 Server/Spieler |
Steuerkanal (bidirektional) auf TCP-Port 7070. Datenkanal vom Server zum Player über TCP-Port 7070 oder UDP-Port 6970-7170. |
4.0 und 5.0 Server/Encoder |
Steuerkanal (bidirektional) auf TCP-Port 7070. Datenkanal vom Encoder oder Server auf TCP-Port 7070. |
G2 Server/Spieler |
Steuerkanal (bidirektional) auf TCP-Port 80, 554, 7070 oder 8080. Datenkanal vom Server zum Player über TCP-Port 80, 554, 7070, 8080 oder UDP-Port 6970-32.000. |
G2 Server/3.1- und 5.x-Encoder |
Steuerkanal (bidirektional) auf TCP-Port 7070. Datenkanal vom Encoder zum Server auf TCP-Port 7070. |
G2 Server/G2 Produzent |
Steuerkanal (bidirektional) am TCP-Port 4040. Datenkanal vom Encoder zum Server auf TCP-Port 4040 und UDP-Port 6970-32.000. |
2 Server/G2 Producer (NUR TCP) |
Steuerkanal (bidirektional) auf TCP-Port 4040 Datenkanal vom Encoder zum Server auf TCP-Port 4040. Hinweis: Die Option "TCP-ONLY" ist in Version 6.1 oder höher verfügbar. |
RealAudio war das ursprüngliche Protokoll von RealPlayers. Neuere Versionen von RealPlayer verwenden RTSP. Stateful-Firewall und NAT erfordern, dass ALG RealAudio auf TCP-Port 7070 programmiert ist.
Sun RPC und RPC Portmap Services
Der Remote Procedure Call (RPC) ALG verwendet die bekannten Ports TCP 111 und UDP 111 für die Portzuordnung, die Ports für RPC-Dienste dynamisch zuweist und öffnet. Die RPC-Portmap-ALG verfolgt die Portanforderungen und öffnet dynamisch die Firewall für diese angeforderten Ports. Das RPC-ALG kann das RPC-Protokoll weiter einschränken, indem es erlaubte Programmnummern angibt.
Die ALG umfasst die in Tabelle 3 aufgeführten RPC-Dienste.
Name |
Beschreibung |
Kommentare |
|---|---|---|
|
Network File Server (NFS) Mount-Daemon; Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). |
|
Wird als Teil von NFS verwendet. Weitere Informationen finden Sie unter RFC 1094. Siehe auch RFC1813 für NFS v3. |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). |
|
Network Information Service Plus (NIS+), das NIS ersetzen soll; Es handelt sich um einen Standard-Namensdienst für Sun Solaris, der nicht mit dem alten NIS verwandt ist. Es sind keine Protokollinformationen verfügbar. |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). |
|
Manager für Netzwerksperren. |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
Kernel-Statistikserver. Weitere Informationen finden Sie in den UNIX-Handbuchseiten für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
Wird verwendet, um eine Nachricht an Benutzer zu schreiben; Weitere Informationen finden Sie in der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
NIS-Bindungsprozess. Weitere Informationen finden Sie auf der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
NIS-Kennwortserver. Weitere Informationen finden Sie auf der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
NIS-Server. Weitere Informationen finden Sie auf der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
Tool zur Netzwerkaktualisierung. |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
|
NIS-Kartenübertragungsserver. Weitere Informationen finden Sie auf der UNIX-Manpage für |
Die Basisunterstützung ist RPC v2 und der Port-Mapper-Dienst auf Port 111 (siehe RFC 1050). Sobald die RPC-Programmtabelle erstellt ist, |
Die Unterstützung für zustandsgesteuerte Firewalls und NAT-Dienste, die die Portzuordnung verwenden, erfordert, dass Sie die RPC-Portzuordnungs-ALG auf TCP/UDP-Zielport 111 und die RPC-ALG sowohl für TCP als auch für UDP konfigurieren. Sie können einen oder mehrere rpc-program-number Werte angeben, um die zulässigen RPC-Protokolle weiter einzuschränken.
RTSP
Das Real-Time Streaming Protocol (RTSP) steuert die Bereitstellung von Daten mit Echtzeiteigenschaften wie Audio und Video. Die von RTSP gesteuerten Streams können RTP verwenden, dies ist jedoch nicht erforderlich. Medien können über denselben RTSP-Steuerdatenstrom übertragen werden. Hierbei handelt es sich um ein HTTP-ähnliches textbasiertes Protokoll, das jedoch von Client und Server verwaltet Sitzungsinformationen. Eine Sitzung wird mit der SETUP-Nachricht aufgebaut und mit der TEARDOWN-Nachricht beendet. Der Transport (das Medienprotokoll, die Adresse und die Portnummern) wird im Setup und in der Setup-Antwort ausgehandelt.
Für die Unterstützung von Stateful Firewall- und NAT-Services müssen Sie das RTSP-ALG für TCP-Port 554 konfigurieren.
Der ALG überwacht die Steuerverbindung, öffnet Flows dynamisch für Medienströme (RTP/RTSP) und führt NAT-Adress- und Port-Umschreibungen durch.
NIPPEN
Das Session Initiation Protocol (SIP) ist ein Protokoll auf Anwendungsebene, mit dem Mediensitzungen eingerichtet, aufrechterhalten und beendet werden können. Es ist ein weit verbreitetes VoIP-Signalisierungsprotokoll (Voice over IP). Das SIP ALG überwacht den SIP-Datenverkehr und erstellt und verwaltet dynamisch Löcher auf den Signalisierungs- und Medienpfaden. Das ALG lässt nur Pakete mit den richtigen Berechtigungen zu. Das SIP ALG führt außerdem die folgenden Funktionen aus:
Verwaltet Beziehungen zwischen über- und untergeordneten Sitzungen.
Erzwingt Sicherheitsrichtlinien.
Verwaltet Lochanlagen für den VoIP-Datenverkehr.
Das SIP ALG unterstützt die folgenden Funktionen:
Zustandsgesteuerte Firewall
Statische Quellen-NAT
Quellen-NAT nur für dynamische Adressen
Network Address Port Translation (NAPT)
SIP-Sitzungen sind auf 12 Stunden (720 Minuten) für die NAT-Verarbeitung auf den MS-MIC- und MS-MPC-Schnittstellenkarten begrenzt. SIP-Sitzungen auf dem MS-DPC haben keine zeitliche Begrenzung.
SNMP
SNMP ist ein Kommunikationsprotokoll zur Verwaltung von TCP/IP-Netzwerken, das sowohl einzelne Netzwerkgeräte als auch aggregierte Geräte umfasst. Das Protokoll ist in RFC 1157 definiert. SNMP läuft auf UDP auf.
Der Junos OS Stateful Firewall-Service implementiert die SNMP-ALG, um den SNMP-Typ zu überprüfen. SNMP erzwingt keinen zustandsbehafteten Fluss. Jeder SNMP-Typ muss speziell aktiviert werden. Für die vollständige SNMP-Unterstützung von Stateful-Firewall-Services müssen Sie das SNMP-ALG auf UDP-Port 161 konfigurieren. Dies ermöglicht SNMP get und get-next Befehle sowie deren Antwortverkehr in umgekehrter Richtung: UDP-Port 161 aktiviert den SNMP-Befehl get-response . Wenn SNMP-Traps zugelassen sind, können Sie sie auf dem UDP-Port 162 konfigurieren und den SNMP-Befehl trap aktivieren.
SQLNet
Das SQLNet-Protokoll wird von Oracle SQL-Servern zum Ausführen von SQL-Befehlen von Clients verwendet, einschließlich Load Balancing und anwendungsspezifischer Services.
Für die Unterstützung von zustandsbehafteten Firewall- und NAT-Diensten müssen Sie das SQLNet-ALG für den TCP-Port 1521 konfigurieren.
Der ALG überwacht die Steuerpakete, öffnet Datenströme dynamisch für den Datenverkehr und führt NAT-Adress- und Port-Umschreibungen durch.
TFTP
Das Trivial File Transfer Protocol (TFTP) ist in RFC 1350 spezifiziert. Die ersten TFTP-Anforderungen werden an den UDP-Zielport 69 gesendet. Es können zusätzliche Flows erstellt werden, um einzelne Dateien abzurufen oder abzulegen . Für die Unterstützung von Stateful-Firewall- und NAT-Services müssen Sie das TFTP-ALG für den UDP-Zielport 69 konfigurieren.
Traceroute
Traceroute ist ein Tool zum Anzeigen der Route von Paketen zu einem Netzwerkhost. Er verwendet das IP-TTL-Feld (Time-to-Live), um ICMP-Nachrichten über Zeitüberschreitung von Routern oder Gateways auszulösen. Es sendet UDP-Datagramme an Zielports, von denen angenommen wird, dass sie nicht verwendet werden. Die Nummerierung der Zielports erfolgt nach folgender Formel: + nHops – 1. Der Standard-Basisport ist 33434. Um Traceroute durch die Firewall zu unterstützen, müssen zwei Arten von Datenverkehr durchgeleitet werden:
UDP-Probepakete (UDP-Zielport > 33000, IP-TTL-< 30)
ICMP-Antwortpakete (ICMP-Typ Zeitüberschreitung)
Wenn NAT angewendet wird, müssen auch die IP-Adresse und der Port innerhalb des ICMP-Fehlerpakets geändert werden.
Für die Unterstützung von Stateful-Firewall- und NAT-Services müssen Sie das Traceroute-ALG für den UDP-Zielport 33434 bis 33450 konfigurieren. Darüber hinaus können Sie den TTL-Schwellenwert konfigurieren, um UDP-Flood-Angriffe mit großen TTL-Werten zu verhindern.
UNIX-Remoteshell-Dienste
Drei Protokolle bilden die Grundlage für UNIX-Remote-Shell-Dienste:
Exec – Remote-Befehlsausführung; Ermöglicht es einem Benutzer auf dem Client-System, einen Befehl auf dem Remote-System auszuführen. Der erste Befehl von Client (
rcmd) zu Server (rshd) verwendet den bekannten TCP-Port 512. Eine zweite TCP-Verbindung kann auf Anfrage von geöffnetrcmdwerden. Die Client-Portnummer für die zweite Verbindung wird als ASCII-String an den Server gesendet.Login—Besser bekannt als
rlogin; verwendet den bekannten TCP-Port 513. Weitere Informationen finden Sie unter RFC 1282. Es ist keine spezielle Firewall-Verarbeitung erforderlich.Shell – Remote-Befehlsausführung; Ermöglicht es einem Benutzer auf dem Client-System, einen Befehl auf dem Remote-System auszuführen. Der erste Befehl von Client (
rcmd) zu Server (rshd) verwendet den bekannten TCP-Port 514. Eine zweite TCP-Verbindung kann auf Anfrage von geöffnetrcmdwerden. Die Client-Portnummer für die zweite Verbindung wird als ASCII-String an den Server gesendet.
Die Unterstützung von Stateful-Firewall-Services erfordert, dass Sie das Exec-ALG auf TCP-Port 512, das Login-ALG auf TCP-Port 513 und das Shell-ALG auf TCP-Port 514 konfigurieren. NAT-Remoteshell-Dienste erfordern, dass sich jeder zugewiesene dynamische Quellport innerhalb des Portbereichs 512 bis 1023 befindet. Wenn Sie einen NAT-Pool konfigurieren, ist dieser Portbereich ausschließlich Remote-Shell-Anwendungen vorbehalten.
WinFrame
Die WinFrame-Anwendungsserversoftware ermöglicht den Zugriff auf praktisch jede Windows-Anwendung, über jede Art von Netzwerkverbindung zu jeder Art von Client.
Dieses Protokoll wird hauptsächlich von Citrix Windows-Anwendungen verwendet.
Für die zustandsbehaftete Firewall und NAT muss der ALG-Winframe auf dem TCP-Zielport 1494 und dem UDP-Port 1604 konfiguriert sein.
Juniper Networks Standardeinstellungen
Das Junos OS bietet eine standardmäßige, versteckte Konfigurationsgruppe junos-defaults , die automatisch auf die Konfiguration Ihres Routers angewendet wird. Die junos-defaults Gruppe enthält vorkonfigurierte Anweisungen, die vordefinierte Werte für gängige Anwendungen enthalten. Einige der Anweisungen müssen referenziert werden, um wirksam zu werden, z. B. Anwendungen wie FTP oder Telnet. Andere Anweisungen werden automatisch angewendet, z. B. Klemmeneinstellungen. Alle vorkonfigurierten Anweisungen beginnen mit dem reservierten Namen junos-.
Sie können die Junos OS-Standardkonfigurationswerte überschreiben, aber nicht löschen oder bearbeiten. Wenn Sie eine Konfiguration löschen, werden die Standardwerte zurückgegeben, wenn eine neue Konfiguration hinzugefügt wird.
Sie können die apply-groups Anweisung nicht mit der Junos OS-Standardgruppe verwenden.
Um den vollständigen Satz verfügbarer Preset-Anweisungen aus der Junos OS-Standardgruppe anzuzeigen, geben Sie den show groups junos-defaults Befehl configuration mode ein. Das folgende Beispiel zeigt die Liste der Junos OS-Standardgruppen, die Anwendungsprotokolle (ALGs) verwenden:
user@host# show groups junos-defaults
applications {
#
# File Transfer Protocol
#
application junos-ftp {
application-protocol ftp;
protocol tcp;
destination-port 21;
}
#
# Trivial File Transfer Protocol
#
application junos-tftp {
application-protocol tftp;
protocol udp;
destination-port 69;
}
#
# RPC portmapper on TCP
#
application junos-rpc-portmap-tcp {
application-protocol rpc-portmap;
protocol tcp;
destination-port 111;
}
#
# RPC portmapper on UDP
#
application junos-rpc-portmap-udp {
application-protocol rpc-portmap;
protocol udp;
destination-port 111;
}
#
# SNMP get
#
application junos-snmp-get {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get;
}
#
# SNMP get next
#
application junos-snmp-get-next {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get-next;
}
#
# SNMP response
#
application junos-snmp-response {
application-protocol snmp;
protocol udp;
source-port 161;
snmp-command get-response;
}
#
# SNMP trap
#
application junos-snmp-trap {
application-protocol snmp;
protocol udp;
destination-port 162;
snmp-command trap;
}
#
# remote exec
#
application junos-rexec {
application-protocol exec;
protocol tcp;
destination-port 512;
}
#
# remote login
#
application junos-rlogin {
application-protocol shell;
protocol tcp;
destination-port 513;
}
#
# remote shell
#
application junos-rsh {
application-protocol shell;
protocol tcp;
destination-port 514;
}
#
# Real Time Streaming Protocol
#
application junos-rtsp {
application-protocol rtsp;
protocol tcp;
destination-port 554;
}
#
# Citrix windows application server protocol
# windows applications remotely on windows/non-windows clients
#
# citrix needs udp 1604 to be open
#
application junos-citrix-winframe {
application-protocol winframe;
protocol tcp;
destination-port 1494;
}
application junos-citrix-winframe-udp {
protocol udp;
destination-port 1604;
}
#
# Oracle SQL servers use this protocol to execute sql commands
# from clients, load balance, use application-specific servers, etc
#
application junos-sqlnet {
application-protocol sqlnet;
protocol tcp;
destination-port 1521;
}
#
# H.323 Protocol for audio/video conferencing
#
application junos-h323 {
application-protocol h323;
protocol tcp;
destination-port 1720;
}
application junos-h323-ras {
application-protocol ras;
protocol udp;
destination-port 1719;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# The ORB protocol in Java virtual machines uses port 1975 as default
#
application junos-iiop-java {
application-protocol iiop;
protocol tcp;
destination-port 1975;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# ORBIX is a CORBA framework from Iona Technologies that uses port
# 3075 as default
#
application junos-iiop-orbix {
application-protocol iiop;
protocol tcp;
destination-port 3075;
}
#
# Real players use this protocol for real time streaming
# This was the original protocol for real players.
# RTSP is more widely used by real players
# but they still support realaudio.
#
application junos-realaudio {
application-protocol realaudio;
protocol tcp;
destination-port 7070;
}
#
# traceroute application.
#
application junos-traceroute {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 30;
}
#
# The full range of known RPC programs using UDP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-udp {
application-protocol rpc;
protocol udp;
rpc-program-number 100000-400000;
}
#
# The full range of known RPC programs using TCP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-tcp {
application-protocol rpc;
protocol tcp;
rpc-program-number 100000-400000;
}
#
# All ICMP traffic
# This can be made to be more restrictive by specifying ICMP type
# and code.
#
application junos-icmp-all {
application-protocol icmp;
}
#
# Protocol used by Windows media server and windows media player
#
application junos-netshow {
application-protocol netshow;
protocol tcp;
destination-port 1755;
}
#
# NetBIOS - networking protocol used on
# Windows networks name service port, both UDP and TCP
#
application junos-netbios-name-udp {
application-protocol netbios;
protocol udp;
destination-port 137;
}
application junos-netbios-name-tcp {
protocol tcp;
destination-port 137;
}
#
# NetBIOS - networking protocol used on
# Windows networks datagram service port
#
application junos-netbios-datagram {
application-protocol netbios;
protocol udp;
destination-port 138;
}
#
# NetBIOS - networking protocol used on
# Windows networks session service port
#
application junos-netbios-session {
protocol tcp;
destination-port 139;
}
#
# DCE-RPC portmapper on TCP
#
application junos-dce-rpc-portmap {
application-protocol dce-rpc-portmap;
protocol tcp;
destination-port 135;
}
#
# DCE-RPC application on TCP sample UUID
# This application requires user to specify the UUID value
#
# application junos-dcerpc {
# application-protocol dce-rpc;
# protocol tcp;
#
# # UUID also needs to be defined as shown below
# UUID 11223344 22334455 33445566 44556677;
#
# }
#
# ms-exchange needs these 3 UUIDs
#
application junos-dcerpc-endpoint-mapper-service {
application-protocol dce-rpc;
protocol tcp;
uuid e1af8308-5d1f-11c9-91a4-08002b14a0fa;
}
application junos-dcerpc-msexchange-directory-rfr {
application-protocol dce-rpc;
protocol tcp;
uuid 1544f5e0-613c-11d1-93df-00c04fd7bd09;
}
application junos-dcerpc-msexchange-information-store {
application-protocol dce-rpc;
protocol tcp;
uuid a4f1db00-ca47-1067-b31f-00dd010662da;
}
application junos-ssh {
protocol tcp;
destination-port 22;
}
application junos-telnet {
protocol tcp;
destination-port 23;
}
application junos-smtp {
protocol tcp;
destination-port 25;
}
application junos-dns-udp {
protocol udp;
destination-port 53;
}
application junos-dns-tcp {
protocol tcp;
destination-port 53;
}
application junos-tacacs {
protocol tcp;
destination-port 49;
}
# TACACS Database Service
application junos-tacacs-ds {
protocol tcp;
destination-port 65;
}
application junos-dhcp-client {
protocol udp;
destination-port 68;
}
application junos-dhcp-server {
protocol udp;
destination-port 67;
}
application junos-bootpc {
protocol udp;
destination-port 68;
}
application junos-bootps {
protocol udp;
destination-port 67;
}
application junos-finger {
protocol tcp;
destination-port 79;
}
application junos-http {
protocol tcp;
destination-port 80;
}
application junos-https {
protocol tcp;
destination-port 443;
}
application junos-pop3 {
protocol tcp;
destination-port 110;
}
application junos-ident {
protocol tcp;
destination-port 113;
}
application junos-nntp {
protocol tcp;
destination-port 119;
}
application junos-ntp {
protocol udp;
destination-port 123;
}
application junos-imap {
protocol tcp;
destination-port 143;
}
application junos-imaps {
protocol tcp;
destination-port 993;
}
application junos-bgp {
protocol tcp;
destination-port 179;
}
application junos-ldap {
protocol tcp;
destination-port 389;
}
application junos-snpp {
protocol tcp;
destination-port 444;
}
application junos-biff {
protocol udp;
destination-port 512;
}
# UNIX who
application junos-who {
protocol udp;
destination-port 513;
}
application junos-syslog {
protocol udp;
destination-port 514;
}
# line printer daemon, printer, spooler
application junos-printer {
protocol tcp;
destination-port 515;
}
# UNIX talk
application junos-talk-tcp {
protocol tcp;
destination-port 517;
}
application junos-talk-udp {
protocol udp;
destination-port 517;
}
application junos-ntalk {
protocol udp;
destination-port 518;
}
application junos-rip {
protocol udp;
destination-port 520;
}
# INA sanctioned RADIUS port numbers
application junos-radius {
protocol udp;
destination-port 1812;
}
application junos-radacct {
protocol udp;
destination-port 1813;
}
application junos-nfsd-tcp {
protocol tcp;
destination-port 2049;
}
application junos-nfsd-udp {
protocol udp;
destination-port 2049;
}
application junos-cvspserver {
protocol tcp;
destination-port 2401;
}
#
# Label Distribution Protocol
#
application junos-ldp-tcp {
protocol tcp;
destination-port 646;
}
application junos-ldp-udp {
protocol udp;
destination-port 646;
}
#
# JUNOScript and JUNOScope management
#
application junos-xnm-ssl {
protocol tcp;
destination-port 3220;
}
application junos-xnm-clear-text {
protocol tcp;
destination-port 3221;
}
#
# IPsec tunnel
#
application junos-ipsec-esp {
protocol esp;
}
#
#IKE application for IPSec VPN
#
application junos-ike {
application-protocol ike-esp-nat;
protocol udp;
destination-port 500;
}
#
# 'junos-algs-outbound' defines a set of all applications
# requiring an ALG. Useful for defining rule to the the public
# internet allowing private network users to use all JUNOS OS
# supported ALGs initiated from the private network.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-algs-outbound {
application junos-ftp;
application junos-tftp;
application junos-rpc-portmap-tcp;
application junos-rpc-portmap-udp;
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-rexec;
application junos-rlogin;
application junos-rsh;
application junos-rtsp;
application junos-citrix-winframe;
application junos-citrix-winframe-udp;
application junos-sqlnet;
application junos-h323;
application junos-iiop-java;
application junos-iiop-orbix;
application junos-realaudio;
application junos-traceroute;
application junos-rpc-services-udp;
application junos-rpc-services-tcp;
application junos-icmp-all;
application junos-netshow;
application junos-netbios-name-udp;
application junos-netbios-datagram;
application junos-dcerpc-endpoint-mapper-service;
application junos-dcerpc-msexchange-directory-rfr;
application junos-dcerpc-msexchange-information-store;
}
#
# 'junos-management-inbound' represents the group of applications
# that might need access the router from public network for
# for management purposes.
#
# Set is intended for a UI to display management choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set may grow in future JUNOS versions.
#
application-set junos-management-inbound {
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-ssh;
application junos-telnet;
application junos-http;
application junos-https;
application junos-xnm-ssl;
application junos-xnm-clear-text;
}
#
# 'junos-routing-inbound' represents routing protocols that might
# need to access the router from public network.
#
# Set is intended for a UI to display routing involvement choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-routing-inbound {
application junos-bgp;
application junos-rip;
application junos-ldp-tcp;
application junos-ldp-udp;
}
application-set junos-h323-suite {
application junos-h323-ras,
application junos-h323;
}
}
Um auf Anweisungen zu verweisen, die in der junos-defaults Gruppe verfügbar sind, schließen Sie die ausgewählte junos-default-name Anweisung auf der entsprechenden Hierarchieebene ein. Informationen zum Konfigurieren von Anwendungsprotokollen finden Sie unter Konfigurieren von Anwendungseigenschaften. Details zu einem bestimmten Protokoll finden Sie unter ALG-Beschreibungen.
Beispiele: Verweisen auf die Preset-Anweisung aus der Junos OS-Standardgruppe
Das folgende Beispiel ist eine voreingestellte Anweisung aus den Junos OS-Standardgruppen, die für FTP in einer zustandsbehafteten Firewall verfügbar ist:
[edit]
groups {
junos-defaults {
applications {
application junos-ftp { # Use FTP default configuration
application-protocol ftp;
protocol tcp;
destination-port 21;
}
}
}
Wenn Sie auf eine voreingestellte Junos OS-Standardanweisung aus den Junos OS-Standardgruppen verweisen möchten, fügen Sie die junos-default-name Anweisung auf der entsprechenden Hierarchieebene ein. Wenn Sie beispielsweise auf die Junos OS-Standardanweisung für FTP in einer zustandsbehafteten Firewall verweisen möchten, fügen Sie die junos-ftp Anweisung auf der [edit services stateful-firewall rule rule-name term term-name from applications] Hierarchieebene ein.
[edit]
services {
stateful-firewall {
rule my-rule {
term my-term {
from {
applications junos-ftp; #Reference predefined statement, junos-ftp,
}
}
}
}
}
Das folgende Beispiel zeigt die Konfiguration der standardmäßigen Junos IP-ALG:
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications junos-ip;
}
then {
accept;
syslog;
}
}
}
}
}
Wenn Sie die IP-ALG in der Stateful-Firewallregel konfigurieren, wird sie von einem beliebigen IP-Datenverkehr abgeglichen, aber wenn eine andere, spezifischere Anwendung mit demselben Datenverkehr übereinstimmt, wird die IP-ALG nicht abgeglichen. In der folgenden Konfiguration werden z. B. sowohl das ICMP-ALG als auch das IP-ALG konfiguriert, aber der Datenverkehr wird für ICMP-Pakete abgeglichen, da dies die spezifischere Übereinstimmung ist.
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications [ junos-ip junos-icmp-all ];
}
then {
accept;
syslog;
}
}
}
}
}
Siehe auch
ICMP-, Ping- und Traceroute-ALGs für MS-MICs und MS-MPCs
Beginnend mit Junos OS Version 14.2 bieten Junos OS Extension-Provider-Pakete, die auf MS-MIC und MS-MPC vorinstalliert und vorkonfiguriert sind, Unterstützung für Ping, Traceroute und ICMP ALGs in einer konsistenten Weise, die mit der Unterstützung identisch ist, die der uKernel-Service bietet. Für diese ALGs wird eine Parität und Einheitlichkeit der Unterstützung zwischen MS-MICs/MS-MPCs und dem uKernel-Dienst hergestellt. Bis Junos OS Version 14.1 wurden ICMP-ALGs, Ping-ALGs und Traceroute-ALGs auf Routern der MX-Serie mit MS-MICs und MS-MPCs im Vergleich zum uKernel-Dienst, der Network Address Translation (NAT) mit Stateful Firewall (SFW) auf dem uKernel-PIC ermöglicht, nicht vollständig unterstützt. Die Verarbeitung von ICMP-Fehlerantwortpaketen, die mit jedem vorhandenen Datenstrom in die entgegengesetzte Richtung übereinstimmen, und die NAT-Verarbeitung von ICMP-Paketen mit NAT-Verarbeitung von Ping-Paketen war verfügbar.
Auf Routern der MX-Serie mit MS-MICs und MS-MPCs wird die Verfolgung von Ping-Datenverkehrszuständen vollständig anhand der ICMP-Sequenznummern unterstützt (z. B. das Weiterleiten einer Echoantwort nur, wenn die Echoanforderung mit der entsprechenden Sequenznummer identifiziert ist). ICMP Application Layer Gateway (ALG) wurde erweitert, um detaillierte Protokollierungsinformationen bereitzustellen. Außerdem ermöglichen die Traceroute-ALGs die Verarbeitung von UDP-Probepaketen mit einer UDP-Zielportnummer größer als 33000 und einer IP-Gültigkeitsdauer (TTL) von weniger als 30 Sekunden. Traceroute-ALGs ermöglichen die Verarbeitung von ICMP-Antwortpaketen, bei denen der ICMP-Typ zeitlich überschritten wurde, und unterstützen einen Traceroute-TTL-Schwellenwert, der den akzeptablen Grad der Netzwerkdurchdringung für das Trace-Routing steuert.
Sie können ICMP- und Ping-Nachrichten mit den application junos-icmp-allapplication junos-icmp-pingAnweisungen , und application icmp-code und auf der [edit services stateful-firewall rule rule-name term term-name from] Hierarchieebene konfigurieren, um die Übereinstimmungsbedingung für die zustandsbehaftete Firewall und die [edit services nat rule rule-name term term-name from] NAT-Regeln zu definieren. Bis Junos OS Version 14.1 gab es keine Einschränkung oder Validierung für die Anwendungen, die Sie für ICMP-Nachrichten definieren konnten. MS-MICs und MS-MPCs funktionieren auf die gleiche Weise wie der uKernel-Dienst, der bewirkt, dass der Ping-Datenverkehr zustandsbasiert anhand der ICMP-Sequenznummern verfolgt wird (eine Echoantwort wird nur weitergeleitet, wenn die Echoanforderung mit der entsprechenden Sequenznummer übereinstimmt). Außerdem legen MS-MICs und MS-MPCs ein Limit für die ausstehenden Ping-Anforderungen fest und verwerfen die nachfolgenden Ping-Anforderungen, wenn das Limit erreicht ist.
Auf ähnliche Weise können Sie für Traceroute-Nachrichten die application junos-traceroute and-Anweisungen application junos-traceroute-ttl-1 auf der [edit services stateful-firewall rule rule-name term term-name from] Hierarchieebene und konfigurieren [edit services nat rule rule-name term term-name from] , um die Übereinstimmungsbedingung für Traceroute-Nachrichten für die zustandsbehaftete Firewall und die NAT-Regeln zu definieren.
Traceroute- und ICMP-Nachrichten werden sowohl für IPv4- als auch für IPv6-Pakete unterstützt. Damit die Traceroute-Funktionalität funktioniert, müssen Sie nur sicherstellen, dass die benutzerdefinierten Anwendungen wie erwartet mit dem Timeout für Inaktivität funktionieren und dass die TTL-Schwellenwerte so konfiguriert sind, dass sie dem Zeitraum entsprechen, der mit der session-timeout seconds Anweisung auf Hierarchieebene [edit services application-identification application application-name] konfiguriert wurde. Während der Protokollierung von ICMP-Nachrichten werden die ALG-Informationen für Ping- und ICMP-Dienstprogramme in der Ausgabe der relevanten show-Befehle angezeigt, wie z show sessions . B. und show conversations, auf die gleiche Weise wie für die uKernel-Protokollierung.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.