SUR CETTE PAGE
Comprendre les applications de stratégies prédéfinies liées à Internet
Comprendre les applications de stratégies prédéfinies microsoft
Comprendre les protocoles de routage dynamiques Applications de stratégie prédéfinies
Comprendre les applications de stratégies prédéfinies par vidéo en streaming
Comprendre les applications de stratégies prédéfinies par Sun RPC
Comprendre les applications de stratégie prédéfinies par tunnel et de sécurité
Comprendre les applications de stratégies prédéfinies liées à l’IP
Comprendre les applications de stratégies prédéfinies par messagerie instantanée
Comprendre les applications de stratégies prédéfinies de gestion
Comprendre les applications de stratégies prédéfinies par la messagerie
Comprendre les applications de stratégies prédéfinies diverses
Applications de stratégies prédéfinies
Une stratégie prédéfinie vous permet de choisir les applications à autoriser ou à refuser. Vous pouvez spécifier les applications prédéfinies pour la stratégie, en fonction des exigences de votre réseau.
Comprendre les applications de stratégies prédéfinies microsoft
Lorsque vous créez une stratégie, vous pouvez spécifier des applications Microsoft prédéfinies pour cette stratégie.
Le tableau 2 répertorie les applications Microsoft prédéfinies, les paramètres associés à chaque application et une brève description de chaque application. Les paramètres comprennent les identifiants universels uniques (UUIDs) et les ports source et de destination TCP/UDP. Un UUID est un numéro unique de 128 bits généré à partir d’une adresse matérielle, d’un horodatage et de valeurs de graine.
Application |
Paramètre/UUID |
Description |
---|---|---|
Junos MS-RPC-EPM |
135 e1af8308-5d1f-11c9-91a4-08002b14a0fa |
Protocole EPM (Endpoint Mapper) RPC (Remote Procedure Call) Microsoft. |
Junos MS-RPC |
— |
Toutes les applications RPC (Remote Procedure Call) Microsoft. |
Junos MS-RPC-MSEXCHANGE |
3 membres |
Le groupe d’applications Microsoft Exchange inclut :
|
Junos-MS-RPC-MSEXCHANGE-DATABASE |
1a190310-bb9c-11cd-90f8-00aa00466520 |
Application de base de données Microsoft Exchange. |
Junos-MS-RPC-MSEXCHANGE-DIRECTORY |
f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426 |
Application Microsoft Exchange Directory. |
Junos-MS-RPC-MSEXCHANGE-INFO-STORE |
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde 1453c42c-0fa6-11d2-a910-00c04f990f3b 10f24e8e-0fa6-11d2-a910-00c04f990f3b 1544f5e0-613c-11d1-93df-00c04fd7bd09 |
Application du magasin d’informations Microsoft Exchange. |
Junos-MS-RPC-TCP |
— |
Application TCP (Transmission Control Protocol) Microsoft. |
Junos-MS-RPC-UDP |
— |
Application UDP (User Datagram Protocol) Microsoft. |
Junos-MS-SQL |
— |
Langage SQL (Structured Query Language) Microsoft. |
Junos-MSN |
— |
Application Microsoft Network Messenger. |
Comprendre les protocoles de routage dynamiques Applications de stratégie prédéfinies
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de protocole de routage dynamique prédéfinies pour cette stratégie.
En fonction de vos besoins en matière de réseau, vous pouvez choisir d’autoriser ou de refuser les messages générés par ces protocoles de routage dynamique et les paquets de ces protocoles de routage dynamique. Le tableau 3 répertorie chaque protocole de routage dynamique pris en charge par nom, port et description.
Protocole de routage dynamique |
Port |
Description |
---|---|---|
RIP |
520 |
RIP est un protocole de routage à distance commun. |
OSPF |
89 |
OSPF est un protocole de routage à l’état de lien commun. |
BGP |
179 |
BGP est un protocole de routage extérieur/interdomaine. |
Comprendre les applications de stratégies prédéfinies par vidéo en streaming
Lorsque vous créez une stratégie, vous pouvez spécifier des applications vidéo en streaming prédéfinies pour cette stratégie.
Le tableau 4 répertorie chaque application vidéo en streaming prise en charge par son nom et comprend le port et la description par défaut. Selon les exigences de votre réseau, vous pouvez choisir d’autoriser ou de refuser l’une ou l’autre de ces applications.
Application |
Port |
Description |
---|---|---|
H.323 |
source TCP 1-65535 ; Destination TCP 1720, 1503, 389, 522, 1731 source UDP 1-65535 ; Source UDP 1719 |
Le H.323 est une norme approuvée par l’Union internationale des télécommunications (UIT) qui définit la manière dont les données de conférence audiovisuelles sont transmises entre les réseaux. |
Netmeeting |
source TCP 1-65535 ; Destination TCP 1720, 1503, 389, 522 Source UDP 1719 |
Microsoft NetMeeting utilise TCP pour fournir des applications de téléconférence (vidéo et audio) sur Internet. |
Médias réels |
source TCP 1-65535 ; Destination TCP 7070 |
Real Media est une technologie de streaming vidéo et audio. |
RTSP |
554 |
Le protocole RTSP (Real-Time Streaming Protocol) est conçu pour la diffusion d’applications multimédias |
SIP |
5056 |
Le protocole SIP (Session Initiation Protocol) est un protocole de contrôle de la couche applicative permettant de créer, modifier et mettre fin aux sessions. |
VDO en direct |
source TCP 1-65535 ; Destination TCP 7000-7010 |
VDOLive est une technologie de streaming vidéo évolutive. |
Comprendre les applications de stratégies prédéfinies par Sun RPC
Lorsque vous créez une stratégie, vous pouvez spécifier des applications Sun RPC prédéfinies pour cette stratégie.
Le tableau 5 répertorie le nom, les paramètres et le nom complet de chaque procédure distante Sun appelez la passerelle de couche applicative (RPC ALG).
Application |
Numéros de programme |
Nom complet |
---|---|---|
SUN-RPC-PORTMAPPER |
111100000 |
Protocole Portmapper Sun RPC |
SUN-RPC-ANY |
TOUT |
Toutes les applications RPC Sun |
SUN-RPC-PROGRAM-MOUNTD |
100005 |
Sun RPC Mount Daemon |
SUN-RPC-PROGRAM-NFS |
100003 100227 |
Système de fichiers réseau Sun RPC |
SUN-RPC-PROGRAM-NLOCKMGR |
100021 |
Gestionnaire de verrouillage du réseau Sun RPC |
SUN-RPC-PROGRAM-RQUOTAD |
100011 |
Sun RPC Remote Quota Daemon |
SUN-RPC-PROGRAM-RSTATD |
100001 |
Démon d’état distant Sun RPC |
SUN-RPC-PROGRAM-RUSERD |
100002 |
Démon de l’utilisateur distant Sun RPC |
SUN-RPC-PROGRAM-SADMIND |
100232 |
Démon d’administration du système Sun RPC |
SUN-RPC-PROGRAM-SPRAYD |
100012 |
Sun RPC Spray Daemon |
ÉTAT DU PROGRAMME SUN-RPC |
100024 |
État du RPC Sun |
SUN-RPC-PROGRAM-WALLD |
100008 |
Sun RPC Wall Daemon |
SUN-RPC-PROGRAM-YPBIND |
100007 |
Application de liaison de page jaune SUN RPC |
Comprendre les applications de stratégie prédéfinies par tunnel et de sécurité
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de sécurité et de tunnel prédéfinies pour cette stratégie.
Le tableau 6 répertorie chaque application prise en charge et donne le(s) port(s) par défaut et une description de chaque entrée.
Application |
Port |
Description |
---|---|---|
IKE |
source UDP 1-65535 ; Destination UDP 500 |
Internet Key Exchange est le protocole qui définit une association de sécurité dans la suite de protocoles IPsec. L’IKE (Internet Key Protocol) est un protocole permettant d’obtenir des documents de keying authentifiés utilisables avec ISAKMP. |
IKE-NAT |
4500 |
IKE-Network Address Translation (NAT) effectue un NAT de couche 3 pour le trafic IKE S2C. |
L2TP |
1701 |
L2TP associe LA SOLUTION FAI à L2F (Layer 2 Forwarding) pour l’accès à distance. |
PPTP |
1723 |
Le protocole de tunnelisation point à point permet aux entreprises d’étendre leur propre réseau privé via des tunnels privés via l’Internet public. |
Comprendre les applications de stratégies prédéfinies par messagerie instantanée
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de messagerie instantanée prédéfinies pour cette stratégie.
Le tableau 8 répertorie les applications de messagerie Internet prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.
Application |
Port |
Description |
---|---|---|
Gnutella |
6 346 (par défaut) |
Unix est un protocole de partage de fichiers dans le domaine public qui fonctionne sur un réseau distribué. Vous pouvez attribuer n’importe quel port, mais la valeur par défaut est 6346. |
MSN |
1863 |
Microsoft Network Messenger est un service public qui vous permet d’envoyer des messages instantanés et de discuter en ligne. |
NNTP |
119 |
Network News Transport Protocol est un protocole utilisé pour publier, distribuer et récupérer des messages USENET. |
SMB |
445 |
Le protocole SMB (Server Message Block) sur IP vous permet de lire et d’écrire des fichiers sur un serveur sur un réseau. |
YMSG |
5010 |
Yahoo! Messenger est un service public qui vous permet de vérifier quand d’autres sont en ligne, d’envoyer des messages instantanés et de parler en ligne. |
Comprendre les applications de stratégies prédéfinies de gestion
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de gestion prédéfinies pour cette stratégie.
Le tableau 9 répertorie les applications de gestion prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.
Application |
Port |
Description |
---|---|---|
NOM NBNAME |
137 |
NetBIOS Nom de l’application affiche tous les paquets de nom NetBIOS envoyés sur le port UDP 137. |
NDBDS |
138 |
L’application NetBIOS Datagram, publiée par IBM, fournit des applications sans connexion (datagramme) aux PC connectés à un support de diffusion afin de localiser les ressources, lancer des sessions et mettre fin aux sessions. Il n’est pas fiable et les paquets ne sont pas enchaînés. |
NFS |
— |
Le système de fichiers réseau utilise l’UDP pour permettre aux utilisateurs du réseau d’accéder aux fichiers partagés stockés sur des ordinateurs de différents types. SUN RPC est un composant de base de NFS. |
NS Global |
— |
NS-Global est le protocole de gestion central pour les équipements de pare-feu/VPN Juniper Networks. |
NS Global PRO |
— |
NS Global-PRO est le système de surveillance évolutif de la famille d’équipements de pare-feu/VPN Juniper Networks. |
NSM |
— |
Network and Security Manager |
NTP |
123 |
Le protocole Network Time Protocol permet aux ordinateurs de synchroniser avec une référence temporelle. |
RLOGIN |
513 |
RLOGIN démarre une session de terminal sur un hôte distant. |
RSH |
514 |
RSH exécute une commande shell sur un hôte distant. |
SNMP |
161 |
Le protocole simple de gestion du réseau est un ensemble de protocoles permettant de gérer des réseaux complexes. |
SQL*Net V1 |
66 |
SQL*Net Version 1 est un langage de base de données qui permet de créer, d’accéder, de modifier et de protéger les données. |
SQL*Net V2 |
66 |
SQL*Net version 2 est un langage de base de données qui permet la création, l’accès, la modification et la protection des données. |
MSSQL |
1 433 (instance par défaut) |
Microsoft SQL est un outil propriétaire de serveur de bases de données qui permet de créer, d’accéder, de modifier et de protéger les données. |
SSH |
22 |
SSH est un programme permettant de se connecter à un autre ordinateur via un réseau via une authentification forte et des communications sécurisées sur un canal non sécurisé. |
SYSLOG |
514 |
Syslog est un programme UNIX qui envoie des messages à l’enregistreur de journalisation système. |
Parler |
517-518 |
Talk est un programme de communication visuelle qui copie les lignes de votre terminal à celle d’un autre utilisateur. |
Telnet |
23 |
Telnet est un programme UNIX qui fournit une méthode standard d’interfaçage entre les terminaux et les processus orientés terminaux entre eux. |
WinFrame |
— |
WinFrame est une technologie qui permet aux utilisateurs sur des machines non Windows d’exécuter des applications Windows. |
X-Windows |
— |
X-Windows est le système de fenêtre et graphiques sur lequel Motif et OpenLook sont basés. |
Comprendre les applications de stratégies prédéfinies par la messagerie
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de messagerie prédéfinies pour cette stratégie.
Le tableau 10 répertorie les applications de messagerie prédéfinies. Chacune comprend le nom de l’application, le numéro de port par défaut ou assigné, ainsi qu’une description de l’application.
Application |
Port |
Description |
---|---|---|
IMAP |
143 |
Le protocole Internet Message Access Protocol permet de récupérer des messages. |
Messagerie (SMTP) |
25 |
Le protocole Simple Mail Transfer Protocol permet d’envoyer des messages entre les serveurs. |
POP3 |
110 |
Le protocole Post Office sert à récupérer des e-mails. |
Comprendre les applications de stratégies prédéfinies UNIX
Lorsque vous créez une stratégie, vous pouvez spécifier des applications UNIX prédéfinies pour cette stratégie.
Le tableau 11 répertorie les applications UNIX prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.
Application |
Port |
Description |
---|---|---|
DOIGT |
79 |
Finger est un programme UNIX qui fournit des informations sur les utilisateurs. |
UUCP |
117 |
UUCP (UNIX-to-UNIX Copy Protocol) est un utilitaire UNIX qui permet les transferts de fichiers entre deux ordinateurs via une connexion directe série ou modem. |
Comprendre les applications de stratégies prédéfinies diverses
Lorsque vous créez une stratégie, vous pouvez spécifier des applications prédéfinies diverses pour cette stratégie.
Le tableau 12 répertorie les applications diverses prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou assigné, ainsi qu’une description de l’application.
Application |
Port |
Description |
---|---|---|
CHARGEN |
19 |
Character Generator Protocol est un outil de débogage et de mesure basé sur UDP ou TCP. |
JETER |
9 |
Discard protocol est un protocole de couche applicative qui décrit un processus de rejet des données TCP ou UDP envoyées au port 9. |
IDENT |
113 |
Le protocole d’identification est un protocole de couche applicative TCP/IP utilisé pour l’authentification du client TCP. |
LPR |
515 écoutez; Plage source 721-731 (inclus) |
Le protocole Line Printer Daemon est un protocole TCP utilisé pour l’impression d’applications. |
RAYON |
1812 |
L’application de service utilisateur d’authentification à distance par appel est un programme de serveur utilisé à des fins d’authentification et de comptabilisation. |
Comptabilité RADIUS |
1813 |
Un serveur RADIUS Accounting reçoit des données statistiques sur les utilisateurs qui se connectent ou sortent d’un réseau local. |
SQLMON |
1434 (port de surveillance SQL) |
Surveillance SQL (Microsoft) |
VNC |
5800 |
L’informatique réseau virtuelle facilite la consultation et l’interaction avec un autre ordinateur ou appareil Juniper Networks mobile connecté à Internet. |
WHOIS |
43 |
Network Directory Application Protocol est un moyen de rechercher les noms de domaine. |
SCCP |
2000 |
Cisco Station Call Control Protocol (SCCP) utilise le port de contrôle de connexion de signalisation pour fournir une haute disponibilité et un contrôle de flux. |
Comprendre les applications de stratégies prédéfinies ICMP
Lorsque vous créez une stratégie, vous pouvez spécifier l’application prédéfinie ICMP pour la stratégie.
Le protocole ICMP (Internet Control Message Protocol) fait partie de l’IP et permet d’interroger un réseau (messages d’requête ICMP) et de recevoir des commentaires du réseau concernant les modèles d’erreur (messages d’erreur ICMP). ICMP ne garantit toutefois pas la diffusion des messages d’erreur ni la communication de tous les datagrammes perdus ; et ce n’est pas un protocole fiable. Les codes et codes de type ICMP décrivent les messages de requête ICMP et les messages d’erreur ICMP.
Vous pouvez choisir d’autoriser ou de refuser tout ou partie des messages ICMP afin d’améliorer la sécurité du réseau. Certains types de messages ICMP peuvent être exploités pour obtenir des informations sur votre réseau susceptibles de compromettre la sécurité. Par exemple, des paquets ICMP, TCP ou UDP peuvent être construits pour renvoyer des messages d’erreur ICMP contenant des informations sur un réseau, telles que sa topologie et ses caractéristiques de filtrage de liste d’accès. Le tableau 13 répertorie les noms de messages ICMP, le code, le type et la description correspondants.
Nom du message ICMP |
Type |
Code |
Description |
---|---|---|---|
ICMP-ANY |
Tous |
Tous |
ICMP-ANY affecte tous les protocoles utilisant ICMP. Refuser ICMP-ANY nuit à toute tentative de ping ou de surveillance d’un réseau à l’aide d’ICMP. L’autorisation d’ICMP-ANY permet d’autoriser tous les messages ICMP. |
ICMP-ADDRESS-MASK
|
17 18 |
0 0 |
La requête de masque d’adresse ICMP est utilisée pour les systèmes qui ont besoin du masque de sous-réseau local à partir d’un serveur bootstrap. Refuser les messages de demande de masque d’adresse ICMP peut nuire aux systèmes sans disque. L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres personnes d’empreintes numériques du système d’exploitation d’un hôte sur votre réseau. |
ICMP-DEST-UNREACH |
3 |
0 |
Le message d’erreur de destination inatteignable ICMP indique que l’hôte de destination est configuré pour rejeter les paquets. Les codes 0, 1, 4 ou 5 peuvent provenir d’une passerelle. Les codes 2 ou 3 peuvent provenir d’un hôte (RFC 792). Refuser les messages d’erreur impossibles à atteindre à destination ICMP peut supprimer le principe qu’un hôte est opérationnel derrière un équipement SRX Series. En autorisant l’envoi de messages d’erreur impossibles à atteindre à destination ICMP, certaines hypothèses peuvent être formulées concernant le réseau, telles que le filtrage de sécurité. |
Fragment ICMP requis |
3 |
4 |
Le message d'erreur de fragmentation ICMP indique que la fragmentation est nécessaire, mais que l'indicateur de fragmentation n'est pas défini. Nous vous recommandons de refuser ces messages d’Internet à un réseau interne. |
Fragment ICMPReassembly |
11 |
1 |
L’erreur de réassemblage du temps de réassemblage ICMP indique qu’un hôte réassemblé un message fragmenté a manqué de temps et a perdu le paquet. Ce message est parfois envoyé. Nous vous recommandons de refuser ces messages depuis Internet (externe) vers le réseau (interne) approuvé. |
ICMP-HOST-UNREACH |
3 |
1 |
Les messages d’erreur inatteignables de l’hôte ICMP indiquent que les entrées de la table de routage ne font pas la liste ou la liste à l’infini d’un hôte particulier. Parfois, cette erreur est envoyée par des passerelles qui ne peuvent pas fragmenter lorsqu’un paquet nécessitant une fragmentation est reçu. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. L’autorisation de ces messages permet à d’autres d’être en mesure de déterminer vos adresses IP d’hôtes internes par un processus d’élimination ou d’établir des hypothèses sur les passerelles et la fragmentation. |
ICMP-INFO
|
15 16 |
0 0 |
Les messages d’interrogation ICMP-INFO permettent aux systèmes hôtes sans disque d’interroger le réseau et de s’auto-configurer. Refuser les messages de demande de masque d’adresse ICMP peut nuire aux systèmes sans disque. L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres personnes de transmettre des requêtes d’informations à un segment réseau afin de déterminer le type d’ordinateur. |
PROBLÈME ICMP-PARAMETER |
12 |
0 |
Les messages d’erreur de problème des paramètres ICMP vous avertissent lorsque des paramètres d’en-tête incorrects sont présents et ont provoqué l’abandon d’un paquet Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. En autorisant les messages d’erreur de problème de paramètres ICMP, d’autres personnes peuvent établir des hypothèses sur votre réseau. |
ICMP-PORT-UNREACH |
3 |
3 |
Les messages d’erreur impossibles à atteindre sur le port ICMP indiquent que les passerelles qui traitent des datagrammes demandant certains ports ne sont pas disponibles ou ne sont pas prises en charge dans le réseau. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. En autorisant les messages d’erreur impossibles à atteindre sur le port ICMP, d’autres peuvent déterminer les ports que vous utilisez pour certains protocoles. |
ICMP-PROTOCOL-UNREACH |
3 |
2 |
Les messages d’erreur impossibles à atteindre dans le protocole ICMP indiquent que les passerelles qui traitent des datagrammes demandant certains protocoles ne sont pas disponibles ou ne sont pas prises en charge sur le réseau. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. En autorisant les messages d’erreur impossibles à atteindre dans le protocole ICMP, d’autres personnes peuvent déterminer les protocoles que votre réseau exécute. |
REDIRECTION ICMP |
5 |
0 |
Les messages d’erreur réseau de redirection ICMP sont envoyés par un équipement SRX Series. Nous vous recommandons de refuser ces messages d’Internet à un réseau de confiance. |
HÔTE DE REDIRECTION ICMP |
5 |
1 |
Les messages de redirection ICMP indiquent des datagrammes destinés à l’hôte spécifié qui seront envoyés le long d’un autre chemin. |
REDIRECT-TOS-HOST ICMP |
5 |
3 |
Le type de service de redirection ICMP (TOS) et l’erreur d’hôte sont un type de message. |
ICMP-REDIRECT-TOS-NET |
5 |
2 |
Redirection ICMP TOS et l’erreur réseau est un type de message. |
ICMP-SOURCE-QUENCH |
4 |
0 |
Le message d’erreuration de source ICMP indique qu’un équipement ne dispose pas de l’espace tampon pour accepter, faire la file d’attente et envoyer les paquets au saut suivant. Refuser ces messages n’aidera pas ou ne nuira pas aux performances du réseau interne. L’autorisation de ces messages peut permettre à d’autres de savoir qu’un équipement est encombré, ce qui en fait une cible d’attaque viable. |
ICMP-SOURCE-ROUTE-FAIL |
3 |
5 |
Message d’erreur d’erreur d’échec du routage source ICMP Nous vous recommandons de refuser ces messages depuis Internet (externe). |
ICMP-TIME-EXCEEDED |
11 |
0 |
Le message d'erreur TTL (Time-to-Live) ICMP indique que le paramètre TTL d'un paquet a atteint zéro avant que le paquet n'atteigne sa destination. Cela garantit que les anciens paquets sont jetés avant que les paquets de nouveau ne soient traités. Nous vous recommandons de refuser ces messages d’un réseau fiable vers Internet. |
HORODATAGE ICMP
|
13 14 |
0 0 |
Les messages d’interrogation ICMP-TIMESTAMP fournissent le mécanisme permettant de synchroniser l’heure et de coordonner la distribution de l’heure dans un grand réseau diversifié. |
Ping (ICMP ECHO) |
8 |
0 |
Le ping est un utilitaire permettant de déterminer si un hôte spécifique est accessible par son adresse IP. Le refus de la fonctionnalité ping empêche de vérifier si un hôte est actif. Autoriser le ping peut permettre à d’autres d’exécuter une attaque par déni de service (DoS) ou schtroumpf. |
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE |
11 |
1 |
Le message d’erreur ayant expiré lors du réassemblage d’écho ICMP indique que le temps d’assemblage a été dépassé. Nous vous recommandons de refuser ces messages. |
Traceroute
|
30 30 |
0 1 |
Traceroute est un utilitaire qui indique le chemin d’accès à un hôte spécifique. Nous vous recommandons de refuser cette utilité depuis Internet (externe) vers votre réseau de confiance (interne). |
Comportement par défaut des erreurs inatteignables ICMP
Pour différents niveaux de sécurité, le comportement par défaut des erreurs inatteignables ICMP est géré comme suit :
Les sessions sont clôturées pour les messages ICMP de type 3, code-0, code-1, code-2 et code-3 uniquement lorsque les conditions suivantes sont remplies :
Le message ICMP inatteignable est reçu dans la direction du serveur jusqu’au client.
Aucun paquet normal n’est reçu dans la direction du serveur jusqu’au client.
Sinon, les sessions ne se terminent pas.
Les sessions ne se ferment pas pour les messages ICMP type 3, code-4.
Exemple : définition d’une application ICMP personnalisée
Cet exemple montre comment définir une application ICMP personnalisée.
Exigences
Avant de commencer :
Comprenez l’application de stratégies personnalisées. Voir Understanding Custom Policy Applications( Comprendre les applications de stratégies personnalisées).
Comprenez l’application de stratégies prédéfinies ICMP. Voir Understanding ICMP Prédéfini Policy Applications.
Aperçu
Junos OS prend en charge ICMP (ainsi que plusieurs messages ICMP) en tant qu’applications prédéfinies ou personnalisées. Lors de la configuration d’une application ICMP personnalisée, vous définissez un type et un code.
ICMP comporte différents types de messages. Par exemple :
type 0 = Message de requête d’écho
type 3 = message destination inatteignable
Un type de message ICMP peut également comporter un code de message. Le code fournit des informations plus spécifiques sur le message, comme illustré dans le tableau 14.
Tableau 14 : Descriptions des messages Message Type
Message Code
5 = Redirection
0 = Datagramme de redirection pour le réseau (ou sous-réseau)
1 = Datagramme de redirection pour l’hôte
2 = Datagramme de redirection pour le type d’application et de réseau
3 = Datagramme de redirection pour le type d’application et d’hôte
11 = Délais dépassés
0 = Temps de vie dépassé en transit
1 = Temps de réassemblage fragmenté dépassé
Junos OS prend en charge tout type ou code dans la plage de jusqu’à 0
55
.
Dans cet exemple, vous définissez une application personnalisée nommée host-inreachable en utilisant ICMP comme protocole de transport. Le type est 3 (pour destination inatteignable) et le code 1 (pour l’hôte inaccessible). Vous définissez la valeur du délai d’expiration à 4 minutes.
Pour plus d’informations sur les types et codes ICMP, reportez-vous à la norme RFC 792, Internet Control Message Protocol.
Configuration
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.
Pour définir une application ICMP personnalisée :
Définissez le type et le code de l’application.
[edit applications application host-unreachable] user@host# set icmp-type 5 icmp-code 0
Définissez la valeur du délai d’expiration d’inactivité.
[edit applications application host-unreachable] user@host# set inactivity-timeout 4
Si vous avez terminé la configuration de l’unité, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show applications
commande.