Vordefinierte Richtlinienanwendungen

Grundlegendes zu internetbezogenen vordefinierten Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte internetbezogene Anwendungen für die Richtlinie angeben.

Tabelle 1 listet internetbezogene vordefinierte Anwendungen auf. Abhängig von Ihren Netzwerkanforderungen können Sie eine oder alle dieser Anwendungen zulassen oder verweigern. Jeder Eintrag listet den Anwendungsnamen, den Standardempfangsport und die Anwendungsbeschreibung auf.

Tabelle 1: Vordefinierte Anwendungen
Name der Anwendung	Port(s)	Anwendungsbeschreibung
AOL	5190-5193	America Online Internet Service Provider (ISP) stellt Internet-, Chat- und Instant Messaging-Anwendungen bereit.
DHCP-Relay	67 (Standard)	Dynamisches Hostkonfigurationsprotokoll.
DHCP	68 Auftraggeber 67 Server	Das Dynamic Host Configuration Protocol weist Netzwerkadressen zu und liefert Konfigurationsparameter vom Server an die Hosts.
DNS	53	Das Domain Name System übersetzt Domainnamen in IP-Adressen.
FTP	20 Daten 21 Steuerung	Das File Transfer Protocol (FTP) ermöglicht das Senden und Empfangen von Dateien zwischen Computern. Sie können wählen, ob Sie ANY verweigern oder zulassen oder selektiv zulassen oder verweigern möchten. Es wird empfohlen, FTP-Anwendungen aus nicht vertrauenswürdigen Quellen (Internet) abzulehnen.
Gopher	70	Gopher organisiert und zeigt die Inhalte von Internetservern als hierarchisch strukturierte Liste von Dateien an. Es wird empfohlen, Gopher den Zugriff zu verweigern, um zu vermeiden, dass Ihre Netzwerkstruktur offengelegt wird.
HTTP (HTTP)	80	HyperText Transfer Protocol ist das zugrunde liegende Protokoll, das vom World Wide Web (WWW) verwendet wird. Durch das Verweigern der HTTP-Anwendung wird die Anzeige des Internets durch Ihre Benutzer deaktiviert. Wenn Sie die HTTP-Anwendung zulassen, können Ihre vertrauenswürdigen Hosts das Internet anzeigen.
HTTP-EXT	—	Hypertext Transfer Protocol mit erweiterten, nicht standardmäßigen Ports
HTTPS	443	Hypertext Transfer Protocol with Secure Sockets Layer (SSL) ist ein Protokoll zur Übertragung privater Dokumente über das Internet. Durch das Verweigern von HTTPS wird verhindert, dass Benutzer im Internet einkaufen und auf bestimmte Onlineressourcen zugreifen können, für die ein sicherer Kennwortaustausch erforderlich ist. Das Zulassen von HTTPS ermöglicht es Ihren vertrauenswürdigen Hosts, am Passwortaustausch teilzunehmen, online einzukaufen und verschiedene geschützte Online-Ressourcen zu besuchen, für die eine Benutzeranmeldung erforderlich ist.
Internet-Locator-Dienst	—	Internet Locator Service umfasst LDAP, User Locator Service und LDAP über TSL/SSL.
IRC	6665-6669	Internet Relay Chat (IRC) ermöglicht es Personen, die mit dem Internet verbunden sind, an Live-Diskussionen teilzunehmen.
LDAP	389	Das Lightweight Directory Access Protocol ist eine Reihe von Protokollen, die für den Zugriff auf Informationsverzeichnisse verwendet werden.
PC-Anywhere	—	PC-Anywhere ist eine Fernsteuerungs- und Dateiübertragungssoftware.
TFTP	69	Trivial File Transfer Protocol (TFTP) ist ein Protokoll für die einfache Dateiübertragung.
WAIS	—	Wide Area Information Server ist ein Programm, das Dokumente im Internet findet.

Hinweis:

Ab der Junos OS-Version Junos OS Version 18.4R1 werden verschlüsselte Anwendungen wie HTTP, SMTP, IMAP und POP3 über SSL in vordefinierten Anwendungen und Anwendungssätzen von Junos OS als junos:HTTPS, junos:SMTPS, junos:IMAPS und junos:POP3S identifiziert. Beispiel: Wenn Sie eine Sicherheitsrichtlinie so konfigurieren, dass HTTPS-Datenverkehr zugelassen oder verweigert wird, müssen Sie die Anwendungsübereinstimmungskriterien als junos:HTTPS angeben. In früheren Junos OS-Versionen konnten sowohl HTTP- als auch verschlüsselte HTTP (HTTPS)-Anwendungen mit derselben Anwendung konfiguriert werden, die Kriterien wie junos:HTTP erfüllt.

Grundlegendes zu vordefinierten Microsoft-Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte Microsoft-Anwendungen für die Richtlinie angeben.

In Tabelle 2 sind vordefinierte Microsoft-Anwendungen, die den einzelnen Anwendungen zugeordneten Parameter sowie eine kurze Beschreibung der einzelnen Anwendungen aufgeführt. Zu den Parametern gehören Universal Unique Identifiers (UUIDs) sowie TCP/UDP-Quell- und -Zielports. Eine UUID ist eine eindeutige 128-Bit-Zahl, die aus einer Hardwareadresse, einem Zeitstempel und Startwerten generiert wird.

Tabelle 2: Vordefinierte Microsoft-Anwendungen
Anwendung	Parameter/UUID	Beschreibung
Junos MS-RPC-EPM	135 e1af8308-5d1f-11c9-91a4-08002b14a0fa	Microsoft Remote Procedure Call (RPC) Endpoint Mapper (EPM)-Protokoll.
Junos MS-RPC	—	Alle Microsoft Remote Procedure Call (RPC)-Anwendungen.
Junos MS-RPC-MSEXCHANGE	3 Mitglieder	Die Microsoft Exchange-Anwendungsgruppe umfasst: Junos-MS-RPC-MSEXCHANGE-DATENBANK Junos-MS-RPC-MSEXCHANGE-VERZEICHNIS Junos-MS-RPC-MSEXCHANGE-INFO-STORE
Junos-MS-RPC-MSEXCHANGE-DATENBANK	1a190310-bb9c-11cd-90f8-00aa00466520	Microsoft Exchange-Datenbankanwendung.
Junos-MS-RPC-MSEXCHANGE-VERZEICHNIS	f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426	Microsoft Exchange Directory-Anwendung.
Junos-MS-RPC-MSEXCHANGE-INFO-STORE	0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde 1453c42c-0fa6-11d2-a910-00c04f990f3b 10f24e8e-0fa6-11d2-a910-00c04f990f3b 1544f5e0-613c-11d1-93df-00c04fd7bd09	Microsoft Exchange Information Store-Anwendung.
Junos-MS-RPC-TCP	—	Microsoft Transmission Control Protocol (TCP)-Anwendung.
Junos-MS-RPC-UDP	—	Microsoft User Datagram Protocol (UDP)-Anwendung.
Junos-MS-SQL	—	Microsoft Structured Query Language (SQL).
Junos-MSN	—	Microsoft Network Messenger-Anwendung.

Grundlegendes zu dynamischen Routing-Protokollen Vordefinierte Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte dynamische Routing-Protokollanwendungen für die Richtlinie angeben.

Abhängig von Ihren Netzwerkanforderungen können Sie Nachrichten, die von diesen dynamischen Routingprotokollen generiert werden, und Pakete dieser dynamischen Routingprotokolle zulassen oder ablehnen. In Tabelle 3 sind die einzelnen unterstützten dynamischen Routing-Protokolle nach Name, Port und Beschreibung aufgelistet.

Tabelle 3: Dynamische Routing-Protokolle
Dynamisches Routing-Protokoll	Hafen	Beschreibung
RIP	520	RIP ist ein gängiges Distanzvektor-Routing-Protokoll.
OSPF	89	OSPF ist ein gängiges Link-State-Routing-Protokoll.
BGP	179	BGP ist ein Exterior-/Interdomain-Routing-Protokoll.

Grundlegendes zu vordefinierten Richtlinienanwendungen für das Streamen von Videos

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte Streaming-Videoanwendungen für die Richtlinie angeben.

In Tabelle 4 sind die Namen der einzelnen unterstützten Streaming-Videoanwendungen aufgeführt und enthalten den Standardport und die Beschreibung. Abhängig von Ihren Netzwerkanforderungen können Sie eine oder alle dieser Anwendungen zulassen oder verweigern.

Tabelle 4: Unterstützte Streaming-Video-Anwendungen
Anwendung	Hafen	Beschreibung
H.323	TCP-Quelle 1-65535; TCP-Ziel 1720, 1503, 389, 522, 1731 UDP-Quelle 1-65535; UDP-Quelle 1719	H.323 ist ein von der Internationalen Fernmeldeunion (ITU) genehmigter Standard, der definiert, wie audiovisuelle Konferenzdaten über Netzwerke übertragen werden.
Netmeeting	TCP-Quelle 1-65535; TCP-Ziel 1720, 1503, 389, 522 UDP-Quelle 1719	Microsoft NetMeeting verwendet TCP zum Bereitstellen von Telekonferenzanwendungen (Video und Audio) über das Internet.
Echte Medien	TCP-Quelle 1-65535; TCP-Ziel 7070	Real Media ist Streaming-Video- und Audiotechnologie.
RTSP	554	Das Real-Time Streaming Protocol (RTSP) ist für Streaming-Medienanwendungen gedacht
SIP	5056	Session Initiation Protocol (SIP) ist ein Steuerungsprotokoll auf Anwendungsebene zum Erstellen, Ändern und Beenden von Sitzungen.
VDO Live	TCP-Quelle 1-65535; TCP-Ziel 7000-7010	VDOLive ist eine skalierbare Video-Streaming-Technologie.

Grundlegendes zu Sun RPC vordefinierten Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte Sun RPC-Anwendungen für die Richtlinie angeben.

In Tabelle 5 sind der Anwendungsname, die Parameter und der vollständige Name jedes Sun Remote Procedure Calls Application Layer Gateway (RPC ALG) aufgeführt.

Tabelle 5: RPC-ALG-Anwendungen
Anwendung	Programmnummern	Vor- und Zuname
SUN-RPC-PORTMAPPER	111100000	Sun RPC Portmapper-Protokoll
SUN-RPC-ANY	JEGLICHE	Alle Sun RPC-Anwendungen
SUN-RPC-PROGRAM-MOUNTD	100005	Sun RPC Mount Daemon
SUN-RPC-PROGRAMM-NFS	100003 100227	Sun RPC-Netzwerkdateisystem
SUN-RPC-PROGRAMM-NLOCKMGR	100021	Sun RPC Network Lock Manager
SUN-RPC-PROGRAM-RQUOTAD	100011	Sun RPC Remote Quota Daemon
SUN-RPC-PROGRAM-RSTATD	100001	Sun RPC-Remote-Status-Daemon
SUN-RPC-PROGRAMM-RUSERD	100002	Sun RPC Remote User Daemon
SUN-RPC-PROGRAMM-SADMIND	100232	Sun RPC-Systemadministrations-Daemon
SUN-RPC-PROGRAMM-BESPRÜHT	100012	Sun RPC Spray Daemon
SUN-RPC-PROGRAMM-STATUS	100024	Sun RPC-Status
SUN-RPC-PROGRAMM-WALLD	100008	Sun RPC Wall Daemon
SUN-RPC-PROGRAMM-YPBIND	100007	SUN RPC Gelbe Seite Bind Anwendung

Grundlegendes zu Sicherheit und Tunnel vordefinierter Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte Sicherheits- und Tunnelanwendungen für die Richtlinie angeben.

Tabelle 6 listet alle unterstützten Anwendungen auf und enthält den/die Standardport(e) sowie eine Beschreibung der einzelnen Einträge.

Tabelle 6: Unterstützte Anwendungen
Anwendung	Hafen	Beschreibung
IKE	UDP-Quelle 1-65535; UDP-Ziel 500	Internet Key Exchange ist das Protokoll, das eine Sicherheitszuordnung in der IPsec-Protokollsuite einrichtet. Internet Key Protocol (IKE) ist ein Protokoll zum Abrufen von authentifiziertem Schlüsselmaterial für die Verwendung mit ISAKMP.
IKE-NAT	4500	IKE-Network Address Translation (NAT) führt Layer-3-NAT für S2C-IKE-Datenverkehr durch.
L2TP	1701	L2TP kombiniert PPTP mit Layer 2 Forwarding (L2F) für den Fernzugriff.
PPTP	1723	Das Point-to-Point-Tunneling-Protokoll ermöglicht es Unternehmen, ihr eigenes privates Netzwerk durch private Tunnel über das öffentliche Internet zu erweitern.

Grundlegendes zu IP-bezogenen vordefinierten Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte IP-bezogene Anwendungen für die Richtlinie angeben.

Tabelle 7 listet die vordefinierten IP-bezogenen Anwendungen auf. Jeder Eintrag enthält den Standardport und eine Beschreibung der Anwendung.

TCP-ANY bezeichnet jede Anwendung, die TCP verwendet, daher gibt es keinen Standardport dafür. Das Gleiche gilt für UDP-ANY.

Tabelle 7: Vordefinierte IP-bezogene Anwendungen
Anwendung	Hafen	Beschreibung
Jegliche	—	Jede Anwendung
TCP-ANY	0-65,535	Jedes Protokoll, das TCP verwendet
UDP-BELIEBIG	0-65,535	Jedes Protokoll, das UDP verwendet

Grundlegendes zu Instant Messaging Vordefinierte Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte Instant Messaging-Anwendungen für die Richtlinie angeben.

Tabelle 8 listet vordefinierte Internet-Messaging-Anwendungen auf. Jeder Eintrag enthält den Namen der Anwendung, den standardmäßigen oder zugewiesenen Port und eine Beschreibung der Anwendung.

Tabelle 8: Vordefinierte Internet-Messaging-Anwendungen
Anwendung	Hafen	Beschreibung
Gnutella	6346 (Standard)	Gnutella ist ein gemeinfreies Filesharing-Protokoll, das über ein verteiltes Netzwerk betrieben wird. Sie können einen beliebigen Port zuweisen, der Standardwert ist jedoch 6346.
MSN	1863	Microsoft Network Messenger ist ein Dienstprogramm, mit dem Sie Sofortnachrichten senden und online sprechen können.
NNTP	119	Das Network News Transport Protocol ist ein Protokoll, das zum Veröffentlichen, Verteilen und Abrufen von USENET-Nachrichten verwendet wird.
SMB	445	Server Message Block (SMB) over IP ist ein Protokoll, mit dem Sie Dateien auf einem Server in einem Netzwerk lesen und schreiben können.
YMSG	5010	Yahoo! Messenger ist ein Dienstprogramm, mit dem Sie überprüfen können, wann andere online sind, Sofortnachrichten senden und online sprechen können.

Grundlegendes zu Management vordefinierter Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte Verwaltungsanwendungen für die Richtlinie angeben.

In Tabelle 9 sind die vordefinierten Verwaltungsanwendungen aufgeführt. Jeder Eintrag enthält den Namen der Anwendung, den standardmäßigen oder zugewiesenen Port und eine Beschreibung der Anwendung.

Tabelle 9: Vordefinierte Managementanwendungen
Anwendung	Hafen	Beschreibung
NBNAME	137	Die Anwendung "NetBIOS-Name" zeigt alle NetBIOS-Namenspakete an, die über den UDP-Port 137 gesendet werden.
NDBDS	138	Die von IBM veröffentlichte Anwendung NetBIOS Datagram stellt verbindungslose (Datagramm-)Anwendungen für PCs bereit, die mit einem Broadcast-Medium verbunden sind, um Ressourcen zu lokalisieren, Sitzungen zu initiieren und Sitzungen zu beenden. Es ist unzuverlässig und die Pakete werden nicht sequenziert.
NFS	—	Das Netzwerkdateisystem verwendet UDP, um Netzwerkbenutzern den Zugriff auf freigegebene Dateien zu ermöglichen, die auf Computern verschiedener Typen gespeichert sind. SUN RPC ist ein Baustein von NFS.
NS Global	—	NS-Global ist das zentrale Managementprotokoll für Firewall-/VPN-Geräte von Juniper Networks.
NS Global PRO	—	NS Global-PRO ist das skalierbare Überwachungssystem für die Firewall-/VPN-Gerätefamilie von Juniper Networks.
NSM	—	Netzwerk- und Sicherheitsmanager
NTP	123	Das Network Time Protocol bietet Computern die Möglichkeit, sich mit einer Zeitreferenz zu synchronisieren.
RLOGIN	513	RLOGIN startet eine Terminalsitzung auf einem Remote-Host.
RSH	514	RSH führt einen Shell-Befehl auf einem Remote-Host aus.
SNMP	161	Das Simple Network Management Protocol ist eine Reihe von Protokollen zur Verwaltung komplexer Netzwerke.
SQL*Net V1	66	SQL*Net Version 1 ist eine Datenbanksprache, die die Erstellung, den Zugriff, die Änderung und den Schutz von Daten ermöglicht.
SQL*Net V2	66	SQL*Net Version 2 ist eine Datenbanksprache, die die Erstellung, den Zugriff, die Änderung und den Schutz von Daten ermöglicht.
MSSQL	1433 (Standardinstanz)	Microsoft SQL ist ein proprietäres Datenbankserver-Tool, das die Erstellung, den Zugriff, die Änderung und den Schutz von Daten ermöglicht.
SSH	22	SSH ist ein Programm zur Anmeldung bei einem anderen Computer über ein Netzwerk durch starke Authentifizierung und sichere Kommunikation auf einem unsicheren Kanal.
SYSLOG	514	Syslog ist ein UNIX-Programm, das Meldungen an den Systemlogger sendet.
Sich unterhalten	517-518	Talk ist ein visuelles Kommunikationsprogramm, das Zeilen von Ihrem Terminal auf das eines anderen Benutzers kopiert.
Telnet	23	Telnet ist ein UNIX-Programm, das eine Standardmethode zur Verbindung von Endgeräten und terminalorientierten Prozessen untereinander bereitstellt.
Winframe	—	WinFrame ist eine Technologie, mit der Benutzer auf Nicht-Windows-Computern Windows-Anwendungen ausführen können.
X-Windows	—	X-Windows ist das Fenster- und Grafiksystem, auf dem Motif und OpenLook basieren.

Grundlegendes zu E-Mail-Anwendungen mit vordefinierten Richtlinien

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte E-Mail-Anwendungen für die Richtlinie angeben.

Tabelle 10 listet die vordefinierten E-Mail-Anwendungen auf. Jede enthält den Namen der Anwendung, die standardmäßige oder zugewiesene Portnummer und eine Beschreibung der Anwendung.

Tabelle 10: Vordefinierte E-Mail-Anwendungen
Anwendung	Hafen	Beschreibung
IMAP	143	Das Internet Message Access Protocol wird zum Abrufen von Nachrichten verwendet.
E-Mail (SMTP)	25	Das Simple Mail Transfer Protocol wird verwendet, um Nachrichten zwischen Servern zu senden.
POP3	110	Das Post Office Protocol wird zum Abrufen von E-Mails verwendet.

Grundlegendes zu vordefinierten UNIX-Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie vordefinierte UNIX-Anwendungen für die Richtlinie angeben.

Tabelle 11 listet die vordefinierten UNIX-Anwendungen auf. Jeder Eintrag enthält den Namen der Anwendung, den standardmäßigen oder zugewiesenen Port und eine Beschreibung der Anwendung.

Tabelle 11: Vordefinierte UNIX-Anwendungen
Anwendung	Hafen	Beschreibung
FINGER	79	Finger ist ein UNIX-Programm, das Informationen über die Benutzer liefert.
UUCP	117	UNIX-to-UNIX Copy Protocol (UUCP) ist ein UNIX-Dienstprogramm, das Dateiübertragungen zwischen zwei Computern über eine direkte serielle oder Modemverbindung ermöglicht.

Grundlegendes zu verschiedenen vordefinierten Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie verschiedene vordefinierte Anwendungen für die Richtlinie angeben.

Tabelle 12 listet vordefinierte verschiedene Anwendungen auf. Jeder Eintrag enthält den Anwendungsnamen, den standardmäßigen oder zugewiesenen Port und eine Beschreibung der Anwendung.

Tabelle 12: Vordefinierte sonstige Anwendungen
Anwendung	Hafen	Beschreibung
AUFLADEN	19	Das Character Generator Protocol ist ein UDP- oder TCP-basiertes Debugging- und Messwerkzeug.
VERWERFEN	9	Das Discard-Protokoll ist ein Protokoll der Anwendungsschicht, das einen Prozess zum Verwerfen von TCP- oder UDP-Daten beschreibt, die an Port 9 gesendet werden.
IDENT	113	Das Identifikationsprotokoll ist ein TCP/IP-Protokoll der Anwendungsschicht, das für die TCP-Clientauthentifizierung verwendet wird.
LPR	515 hören; 721-731 Quellbereich (inklusive)	Das Line Printer Daemon-Protokoll ist ein TCP-basiertes Protokoll, das für Druckanwendungen verwendet wird.
RADIUS	1812	Die Anwendung Remote Authentication Dial-In User Service ist ein Serverprogramm, das für Authentifizierungs- und Abrechnungszwecke verwendet wird.
RADIUS-Buchhaltung	1813	Ein RADIUS Accounting-Server empfängt statistische Daten über Benutzer, die sich bei einem LAN an- oder abmelden.
SQLMON	1434 (SQL Monitor-Port)	SQL-Monitor (Microsoft)
VNC	5800	Virtual Network Computing erleichtert die Anzeige und Interaktion mit einem anderen Computer oder mobilen Gerät von Juniper Networks, das mit dem Internet verbunden ist.
WHOIS	43	Network Directory Application Protocol ist eine Möglichkeit, Domainnamen nachzuschlagen.
SCCP	2000	Das Cisco Station Call Control Protocol (SCCP) verwendet den Steuerport für die Signalverbindung, um Hochverfügbarkeit und Flusskontrolle zu gewährleisten.

Grundlegendes zu vordefinierten ICMP-Richtlinienanwendungen

Wenn Sie eine Richtlinie erstellen, können Sie die ICMP-vordefinierte Anwendung für die Richtlinie angeben.

Das Internet Control Message Protocol (ICMP) ist ein Teil von IP und bietet eine Möglichkeit, ein Netzwerk abzufragen (ICMP-Abfragemeldungen) und vom Netzwerk Feedback zu Fehlermustern zu erhalten (ICMP-Fehlermeldungen). ICMP garantiert jedoch nicht die Zustellung von Fehlermeldungen und meldet nicht alle verlorenen Datagramme. und es ist kein zuverlässiges Protokoll. ICMP-Codes und Typcodes beschreiben ICMP-Abfragemeldungen und ICMP-Fehlermeldungen.

Sie können wählen, ob Sie einzelne oder bestimmte Arten von ICMP-Nachrichten zulassen oder verweigern möchten, um die Netzwerksicherheit zu verbessern. Einige Arten von ICMP-Nachrichten können ausgenutzt werden, um Informationen über Ihr Netzwerk zu erhalten, die die Sicherheit gefährden könnten. Beispielsweise können ICMP-, TCP- oder UDP-Pakete so konstruiert werden, dass sie ICMP-Fehlermeldungen zurückgeben, die Informationen über ein Netzwerk enthalten, z. B. seine Topologie und Filtereigenschaften der Zugriffslisten. In Tabelle 13 sind die Namen der ICMP-Meldungen, der entsprechende Code, der Typ und die Beschreibung aufgeführt.

Tabelle 13: ICMP-Meldungen
ICMP-Meldungsname	Typ	Code	Beschreibung
ICMP-ANY	Alle	Alle	ICMP-ANY wirkt sich auf alle Protokolle aus, die ICMP verwenden. Das Verweigern von ICMP-ANY beeinträchtigt jeden Versuch, ein Netzwerk mit ICMP anzupingen oder zu überwachen. Das Zulassen von ICMP-ANY erlaubt alle ICMP-Meldungen.
ICMP-ADRESSENMASKE Anfrage Antwort	17 18	0 0	Die ICMP-Adressmaskenabfrage wird für Systeme verwendet, die die lokale Subnetzmaske von einem Bootstrap-Server benötigen. Das Ablehnen von ICMP-Adressmaskenanforderungsnachrichten kann sich nachteilig auf Systeme ohne Festplatte auswirken. Das Zulassen von ICMP-Adressmaskenanforderungsnachrichten kann es anderen Benutzern ermöglichen, einen Fingerabdruck des Betriebssystems eines Hosts in Ihrem Netzwerk zu erstellen.
ICMP-DEST-UNREACH	3	0	Die Fehlermeldung "ICMP-Ziel nicht erreichbar" weist darauf hin, dass der Zielhost so konfiguriert ist, dass die Pakete abgelehnt werden. Die Codes 0, 1, 4 oder 5 können von einem Gateway stammen. Die Codes 2 oder 3 können von einem Host stammen (RFC 792). Durch das Ablehnen von Fehlermeldungen über das ICMP-Ziel "nicht erreichbar" kann die Annahme beseitigt werden, dass ein Host hinter einer Firewall der SRX-Serie ausgeführt wird. Das Zulassen von ICMP-Zielfehlermeldungen ohne Erreichbarkeit kann dazu führen, dass einige Annahmen, wie z. B. Sicherheitsfilterung, über das Netzwerk getroffen werden.
ICMP-Fragment benötigt	3	4	Die Fehlermeldung "ICMP-Fragmentierung" gibt an, dass eine Fragmentierung erforderlich ist, aber das Flag "Nicht fragmentieren" festgelegt ist. Es wird empfohlen, diese Nachrichten aus dem Internet an ein internes Netzwerk zu verweisen.
ICMP-FragmentReassemblierung	11	1	Der Fehler "ICMP fragment reassembly time exceeded" gibt an, dass die Zeit eines Hosts, der eine fragmentierte Nachricht wieder zusammensetzt, abgelaufen ist und das Paket verworfen wurde. Diese Nachricht wird manchmal gesendet. Es wird empfohlen, diese Nachrichten aus dem Internet (extern) an das vertrauenswürdige (interne) Netzwerk zu verweigern.
ICMP-HOST-UNREACH	3	1	ICMP-Host nicht erreichbar Fehlermeldungen weisen darauf hin, dass Routing-Tabelleneinträge einen bestimmten Host nicht oder als unendlich auflisten. Manchmal wird dieser Fehler von Gateways gesendet, die nicht fragmentiert werden können, wenn ein Paket empfangen wird, das eine Fragmentierung erfordert. Es wird empfohlen, diese Nachrichten aus dem Internet an ein vertrauenswürdiges Netzwerk zu verweisen. Wenn Sie diese Nachrichten zulassen, können andere die IP-Adressen Ihrer internen Hosts durch einen Eliminierungsprozess ermitteln oder Annahmen über Gateways und Fragmentierung treffen.
ICMP-INFO Anfrage Antwort	15 16	0 0	ICMP-INFO-Abfragenachrichten ermöglichen es plattenlosen Hostsystemen, das Netzwerk abzufragen und sich selbst zu konfigurieren. Das Ablehnen von ICMP-Adressmaskenanforderungsnachrichten kann sich nachteilig auf Systeme ohne Festplatte auswirken. Das Zulassen von ICMP-Adressmaskenanforderungsnachrichten kann es anderen Benutzern ermöglichen, Informationsabfragen an ein Netzwerksegment zu senden, um den Computertyp zu bestimmen.
ICMP-PARAMETER-PROBLEM	12	0	Fehlermeldungen zum Problem mit ICMP-Parametern benachrichtigen Sie, wenn falsche Header-Parameter vorhanden sind und dazu geführt haben, dass ein Paket verworfen wurde Es wird empfohlen, diese Nachrichten aus dem Internet an ein vertrauenswürdiges Netzwerk zu verweisen. Wenn Sie Fehlermeldungen zu ICMP-Parameterproblemen zulassen, können andere Personen Annahmen über Ihr Netzwerk treffen.
ICMP-PORT-UNREACH	3	3	ICMP-Port nicht erreichbar Fehlermeldungen weisen darauf hin, dass Gateways, die Datagramme verarbeiten, die bestimmte Ports anfordern, im Netzwerk nicht verfügbar sind oder nicht unterstützt werden. Es wird empfohlen, diese Nachrichten aus dem Internet an ein vertrauenswürdiges Netzwerk zu verweisen. Wenn Sie die Fehlermeldung "ICMP-Port nicht erreichbar" zulassen, können andere Benutzer bestimmen, welche Ports Sie für bestimmte Protokolle verwenden.
ICMP-PROTOKOLL-UNREACH	3	2	ICMP-Protokoll nicht erreichbar-Fehlermeldungen weisen darauf hin, dass Gateways, die Datagramme verarbeiten, die bestimmte Protokolle anfordern, im Netzwerk nicht verfügbar sind oder nicht unterstützt werden. Es wird empfohlen, diese Nachrichten aus dem Internet an ein vertrauenswürdiges Netzwerk zu verweisen. Wenn Sie die Fehlermeldung "ICMP-Protokoll nicht erreichbar" zulassen, können andere Benutzer feststellen, welche Protokolle in Ihrem Netzwerk ausgeführt werden.
ICMP-WEITERLEITUNG	5	0	ICMP-Umleitungsnetzwerk-Fehlermeldungen werden von einer Firewall der SRX-Serie gesendet. Es wird empfohlen, diese Nachrichten aus dem Internet an ein vertrauenswürdiges Netzwerk zu verweisen.
ICMP-REDIRECT-HOST	5	1	ICMP-Umleitungsnachrichten weisen auf Datagramme hin, die für den angegebenen Host bestimmt sind und über einen anderen Pfad gesendet werden sollen.
ICMP-UMLEITUNG-TOS-HOST	5	3	ICMP-Umleitungstyp des Dienstes (TOS) und Hostfehler ist ein Nachrichtentyp.
ICMP-UMLEITUNG-TOS-NET	5	2	ICMP-Umleitungs-TOS und Netzwerkfehler sind eine Art von Nachricht.
ICMP-SOURCE-QUENCH	4	0	Die ICMP-Fehlermeldung zur Quelllöschung weist darauf hin, dass ein Gerät nicht über den verfügbaren Pufferspeicher verfügt, um die Pakete anzunehmen, in die Warteschlange einzureihen und an den nächsten Hop weiterzuleiten. Das Ablehnen dieser Meldungen hilft oder beeinträchtigt die interne Netzwerkleistung nicht. Wenn Sie diese Nachrichten zulassen, können andere wissen, dass ein Gerät überlastet ist, was es zu einem brauchbaren Angriffsziel macht.
ICMP-SOURCE-ROUTE-FAIL	3	5	Fehlermeldung "ICMP-Quellroute fehlgeschlagen" Wir empfehlen, diese Nachrichten aus dem Internet (extern) abzulehnen.
ICMP-ZEITÜBERSCHREITUNG	11	0	Die Fehlermeldung "ICMP-Gültigkeitsdauer (TTL) überschritten" gibt an, dass die TTL-Einstellung eines Pakets Null erreicht hat, bevor das Paket sein Ziel erreicht hat. Dadurch wird sichergestellt, dass ältere Pakete verworfen werden, bevor erneut gesendete Pakete verarbeitet werden. Es wird empfohlen, diese Nachrichten aus einem vertrauenswürdigen Netzwerk außerhalb des Internets abzulehnen.
ICMP-ZEITSTEMPEL Anfrage Antwort	13 14	0 0	ICMP-TIMESTAMP-Abfragenachrichten bieten den Mechanismus zum Synchronisieren der Zeit- und Koordinationszeitverteilung in einem großen, vielfältigen Netzwerk.
Ping (ICMP ECHO)	8	0	Ping ist ein Dienstprogramm, mit dem festgestellt werden kann, ob ein bestimmter Host über seine IP-Adresse erreichbar ist. Durch das Verweigern der Ping-Funktion können Sie nicht mehr überprüfen, ob ein Host aktiv ist. Das Zulassen von Ping kann es anderen ermöglichen, einen Denial-of-Service (DoS)- oder Smurf-Angriff auszuführen.
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE	11	1	Die Fehlermeldung "ICMP-Fragment-Echo-Reassembly-Zeit abgelaufen" weist darauf hin, dass die Reassemblierungszeit überschritten wurde. Wir empfehlen, diese Meldungen abzulehnen.
Traceroute Vorwärts Verwerfen	30 30	0 1	Traceroute ist ein Dienstprogramm, das den Pfad für den Zugriff auf einen bestimmten Host angibt. Wir empfehlen, dieses Dienstprogramm aus dem Internet (extern) Ihrem vertrauenswürdigen Netzwerk (intern) zu verweigern.

Standardverhalten von ICMP-Fehlern "Nicht erreichbar"

Für verschiedene Sicherheitsstufen wird das Standardverhalten für ICMP-Fehler "nicht erreichbar" wie folgt behandelt:

Sitzungen für ICMP-Nachrichten vom Typ 3, Code 0, Code-1, Code-2 und Code-3 werden nur geschlossen, wenn die folgenden Bedingungen erfüllt sind:
- Die ICMP-Meldung "nicht erreichbar" wird in Server-zu-Client-Richtung empfangen.
- Es wird kein normales Paket in Server-zu-Client-Richtung empfangen.
Andernfalls werden Sitzungen nicht geschlossen.
Sitzungen werden für ICMP-Nachrichten vom Typ 3, Code-4 nicht geschlossen.

Beispiel: Definieren einer benutzerdefinierten ICMP-Anwendung

In diesem Beispiel wird gezeigt, wie eine benutzerdefinierte ICMP-Anwendung definiert wird.

Anforderungen
Übersicht
Konfiguration
Überprüfung

Anforderungen

Bevor Sie beginnen:

Grundlegendes zur Anwendung benutzerdefinierter Richtlinien Weitere Informationen finden Sie unter Grundlegendes zu benutzerdefinierten Richtlinienanwendungen.
Machen Sie sich mit der vordefinierten ICMP-Richtlinienanwendung vertraut. Weitere Informationen finden Sie unter Grundlegendes zu vordefinierten ICMP-Richtlinienanwendungen.

Übersicht

Junos OS unterstützt ICMP – sowie mehrere ICMP-Nachrichten – als vordefinierte oder benutzerdefinierte Anwendungen. Wenn Sie eine benutzerdefinierte ICMP-Anwendung konfigurieren, definieren Sie einen Typ und einen Code.

Innerhalb von ICMP gibt es verschiedene Nachrichtentypen. Zum Beispiel:
- Typ 0 = Echo Request-Nachricht
- Typ 3 = Meldung "Ziel nicht erreichbar"

Ein ICMP-Nachrichtentyp kann auch einen Nachrichtencode haben. Der Code enthält spezifischere Informationen zur Nachricht, wie in Tabelle 14 dargestellt.

Tabelle 14: Meldungsbeschreibungen
Nachrichtentyp	Nachrichtencode
5 = Weiterleitung	0 = Umleitungsdatagramm für das Netzwerk (oder Subnetz)
	1 = Umleitungsdatagramm für den Host
	2 = Weiterleitungsdatagramm für den Anwendungstyp und das Netzwerk
	3 = Umleitungsdatagramm für den Anwendungstyp und den Host
11 = Codes für Zeitüberschreitungen	0 = Überlebensdauer während des Transports überschritten
	1 = Wiederzusammenbauzeit des Fragments überschritten

Junos OS unterstützt alle Typen und Codes im Bereich von 0 bis 55 .

In diesem Beispiel definieren Sie eine benutzerdefinierte Anwendung mit dem Namen host-unreachable mithilfe von ICMP als Transportprotokoll. Der Typ ist 3 (für Ziel nicht erreichbar) und der Code ist 1 (für Host nicht erreichbar). Sie legen den Timeout-Wert auf 4 Minuten fest.

Hinweis:

Weitere Informationen zu ICMP-Typen und -Codes finden Sie unter RFC 792, Internet Control Message Protocol.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So definieren Sie eine benutzerdefinierte ICMP-Anwendung:

Legen Sie den Anwendungstyp und den Code fest.

Legen Sie den Wert für das Inaktivitäts-Timeout fest.

Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show applications Befehl ein.

AUF DIESER SEITE