ALG pour les systèmes logiques
Une passerelle de couche applicative (ALG) dans les systèmes logiques permet à la passerelle d’analyser les charges utiles de la couche application et de décider d’autoriser ou de refuser le trafic au serveur d’applications. ALG prend en charge des applications telles que le protocole de transfert (FTP) et divers protocoles IP qui utilisent la charge utile de la couche d’application pour communiquer les ports dynamiques TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) sur lesquels les applications ouvrent des connexions de données. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la passerelle de couche applicative (ALG) dans les systèmes logiques
L’administrateur principal peut configurer les ALG au niveau racine. La configuration est héritée par tous les systèmes logiques des utilisateurs. Les ALG peuvent également être configurés discrètement pour les systèmes logiques des utilisateurs. L’état ALG n’est pas hérité par tous les systèmes logiques de l’utilisateur. Dans le cas d’un système logique nouvellement créé, l’ALG est constitué d’un état par défaut. Le protocole FTP ALG peut être activé ou désactivé pour un système logique spécifique. Le protocole ICMP ALG est activé par défaut et n’est pas provisionné pour être désactivé.
Lorsqu’un pare-feu SRX Series est mis à niveau vers la version 18.2, l’état ALG dans un système logique est modifié par rapport à l’état précédent. Cette modification affecte le trafic ALG dans le système logique. Par exemple, avant la mise à niveau, H.323 ALG est configuré pour être activé par root. Ainsi, H.323 ALG est également activé dans lsys1. Après la mise à niveau vers la version 18.2, l’état H.323 ALG dans lsys1 est désactivé car l’état par défaut de H.323 est désactivé pour un nouveau système logique.
Vous ne pouvez activer un ALG particulier que pour un seul système logique spécifique.
Par défaut, les ALG suivants sont activés sur un système logique racine :
DNS
FTP
Le MSRPC (en anglais seulement)
PPTP
SUNRPC (en anglais seulement)
PARLER
TFTP
À partir de Junos OS version 18.2R1, vous pouvez activer ou désactiver la configuration des ALG pour chaque système logique individuellement et afficher l’état des ALG pour tous les systèmes logiques ou un système logique spécifique. Les 12 ALG DE DONNÉES (DNS, FTP, TFTP, MSRPC, SUNRPC, PPTP, RSH, RTSP, TALK, SQL, IKE et TWAMP) et quatre ALG VOIP (SIP, H.323, MGCP et SCCP) sont pris en charge sur les systèmes logiques.
Voir aussi
Activation et désactivation d’ALG pour le système logique
Cette rubrique explique comment activer ou désactiver l’état ALG pour chaque système logique.
Exemple : Activation de FTP ALG dans un système logique
Cet exemple montre comment activer ou désactiver une configuration FTP ALG dans un système logique et envoyer du trafic en fonction de la configuration FTP ALG du système logique individuellement.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Reportez-vous à la section Présentation de la configuration des systèmes logiques utilisateur.
Aperçu
Dans cet exemple, l’ALG pour FTP est configuré pour surveiller et permettre l’échange de trafic FTP entre les clients et le serveur sur un système logique.
Par défaut, l’ALG FTP est activé sur le système logique.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configuration de FTP ALG dans un système logique
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 routing-instances vr0 instance-type vpls set logical-systems LSYS0 routing-instances vr0 interface lt-0/0/0.0 set system security-profile p1 logical-system LSYS0 set system security-profile p1 logical-system LSYS1 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 0 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 10.0.0.0/8 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet address 198.51.100.0/24 set logical-systems LSYS1 interfaces ge-0/0/1 unit 0 family inet address 203.0.113.0/24 set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_tzone interfaces ge-0/0/0 set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_utzone interfaces ge-0/0/1 set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit set logical-systems LSYS1 security policies default-policy deny-all
Configuration de FTP ALG dans un système logique
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer un ALG dans un système logique utilisateur :
Configurez un profil de sécurité.
[edit system security-profile] user@host#set p1 policy maximum 100 user@host#set p1 policy reserved 50 user@host#set p1 zone maximum 100 user@host#set p1 zone reserved 50 user@host#set p1 flow-session maximum 6291456 user@host#set p1 flow-session reserved 50 user@host#set p1 flow-gate maximum 524288 user@host#set p1 flow-gate reserved 50
Configurez le système logique principal.
Procédure étape par étape
Créer le système logique principal
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1
Configurez les interfaces d’un système logique principal et configurez les interfaces de tunnel logique et les instances de routage vers le LSYS0.
[edit interfaces] user@host#set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host#set lt-0/0/0 unit 0 peer-unit 1 user@host#set routing-instances vr0 instance-type vpls user@host#set routing-instances vr0 interface lt-0/0/0.0
Configurez un profil de sécurité p1 et affectez-le au système logique racine LSYS0.
[edit system security-profile] user@host#set p1 logical-system LSYS0
Configurez un système logique utilisateur.
Procédure étape par étape
Créer le système logique de l’utilisateur LSYS1
[edit logical-systems] user@host#set LSYS1
Configurez les interfaces de tunnel logique et logique de l’utilisateur pour transférer le trafic au sein du système logique.
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 198.51.100.0/24 user@host#set ge-0/0/1 unit 0 family inet address 203.0.113.0/24 user@host#set lt-0/0/0 unit 1 encapsulation ethernet user@host#set lt-0/0/0 unit 1 peer-unit 0 user@host#set lt-0/0/0 unit 1 family inet address 10.0.0.0/8
Attribuez un profil de sécurité p1 à LSYS1.
[edit system security-profile] user@host#set p1 logical-system LSYS1
Configurez les zones de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] user@host#set security-zone LSYS1_tzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_tzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_tzone interfaces ge-0/0/0 user@host#set security-zone LSYS1_utzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_utzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_utzone interfaces ge-0/0/1
Configurez une stratégie de sécurité qui autorise le trafic FTP du LSYS1_tzone vers l’LSYS1_utzone.
[edit security policies] user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit user@host#set default-policy deny-all
Résultats
À partir du mode de configuration, confirmez la configuration de LSYS0 et LSYS1 en saisissant le show logical-systemsfichier . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host#show logical-systems LSYS0
interfaces {
lt-0/0/0 {
unit 0 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 2 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
}
routing-instances {
vr0 {
instance-type vpls;
interface lt-0/0/0.0;
interface lt-0/0/0.2;
}
}
user@host#show logical-systems LSYS1
interfaces {
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 10.0.1.1/24;
}
}
}
reth0 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
}
security {
alg{
ftp;
}
policies {
from-zone LSYS1_tzone to-zone LSYS1_utzone {
policy P11 {
match {
source-address any;
destination-address any;
application [ junos-ping junos-ftp ];
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LSYS1_tzone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone LSYS1_utzone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérifier l’état ALG du système logique de l’utilisateur
- Vérifier l’état ALG de tous les systèmes logiques
- Vérification du trafic intralogique sur un système logique
Vérifier l’état ALG du système logique de l’utilisateur
But
Vérifiez que l’état de l’algorithme FTP est activé.
Action
Pour vérifier que la configuration fonctionne correctement, entrez la show security alg status logical-system LSYS1 commande.
user@host> show security alg status logical-system LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : DisabledSens
La sortie affiche l’état de l’algorithme pour FTP activé pour le système logique LSYS1.
Vérifier l’état ALG de tous les systèmes logiques
But
Vérifiez l’état ALG de tous les systèmes logiques de l’appareil.
Action
Pour vérifier que la configuration fonctionne correctement, entrez la show security alg status logical-system all commande.
user@host> show security alg status logical-system all
Logical system: root-logical-system
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS3
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS2
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS0
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Sens
La sortie affiche l’état ALG de tous les systèmes logiques de l’appareil.
Vérification du trafic intralogique sur un système logique
But
Vérifiez les informations sur les ressources actives, les clients, les groupes et les sessions créés via le gestionnaire de ressources.
Action
À partir du mode opérationnel, entrez la show security resource-manager summary commande.
user@host> show security resource-manager summary
Active resource-manager clients : 16
Active resource-manager groups : 3
Active resource-manager resources : 26
Active resource-manager sessions : 4
Sens
La sortie affiche des informations récapitulatives sur les ressources actives, les clients, les groupes et les sessions créés via le gestionnaire de ressources.