SUR CETTE PAGE
Comprendre les applications de politiques prédéfinies liées à Internet
Présentation des applications de stratégies prédéfinies Microsoft
Comprendre les applications de stratégies prédéfinies des protocoles de routage dynamique
Comprendre les applications de stratégies prédéfinies pour les vidéos en streaming
Présentation des applications de stratégies prédéfinies Sun RPC
Comprendre l’application des politiques prédéfinies de sécurité et de tunnel
Comprendre les applications de stratégies prédéfinies liées à la propriété IP
Comprendre les applications de stratégies prédéfinies de messagerie instantanée
Comprendre les applications de stratégies prédéfinies de gestion
Présentation des applications de stratégies prédéfinies de messagerie
Applications de politiques prédéfinies
Une politique prédéfinie vous permet de choisir les demandes à autoriser ou à refuser. Vous pouvez spécifier les applications prédéfinies pour la stratégie, en fonction des besoins de votre réseau.
Présentation des applications de stratégies prédéfinies Microsoft
Lorsque vous créez une stratégie, vous pouvez spécifier des applications Microsoft prédéfinies pour la stratégie.
Le Tableau 2 répertorie les applications Microsoft prédéfinies, les paramètres associés à chaque application et une brève description de chaque application. Les paramètres incluent les identifiants uniques universels (UUID) et les ports source et de destination TCP/UDP. Un UUID est un nombre unique de 128 bits généré à partir d’une adresse matérielle, d’un horodatage et de valeurs initiales.
Application |
Paramètre/UUID |
Description |
---|---|---|
Junos MS-RPC-EPM |
135 E1AF8308-5D1F-11C9-91A4-08002B14A0FA |
Protocole EPM (Endpoint Mapper) d’appel de procédure à distance (RPC) Microsoft. |
Junos MS-RPC |
— |
Toutes les applications d’appel de procédure à distance (RPC) Microsoft. |
Junos MS-RPC-MSEXCHANGE |
3 membres |
Le groupe d’applications Microsoft Exchange comprend :
|
Junos-MS-RPC-MSEXCHANGE-BASE DE DONNÉES |
1A190310-BB9C-11CD-90F8-00AA00466520 |
Application de base de données Microsoft Exchange. |
Junos-MS-RPC-MSEXCHANGE-DIRECTORY |
f5cc5a18-4264-101a-8c59-08002b2f8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 f5cc59b4-4264-101a-8c59-08002b2f8426 |
Application d’annuaire Microsoft Exchange. |
Junos-MS-RPC-MSEXCHANGE-INFO-STORE |
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde 1453c42c-0fa6-11d2-a910-00c04f990f3b 10f24e8e-0fa6-11d2-a910-00c04f990f3b 1544f5e0-613c-11d1-93df-00c04fd7bd09 |
Application de la banque d’informations Microsoft Exchange. |
Junos-MS-RPC-TCP |
— |
Application Microsoft Transmission Control Protocol (TCP). |
Junos-MS-RPC-UDP |
— |
Application UDP (Microsoft User Datagram Protocol). |
Junos-MS-SQL |
— |
Microsoft Structured Query Language (SQL). |
Junos-MSN |
— |
Application Microsoft Network Messenger. |
Comprendre les applications de stratégies prédéfinies des protocoles de routage dynamique
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de protocole de routage dynamique prédéfinies pour la stratégie.
En fonction des exigences de votre réseau, vous pouvez choisir d’autoriser ou de refuser les messages générés à partir de ces protocoles de routage dynamique et les paquets de ces protocoles de routage dynamique. Le Tableau 3 répertorie chaque protocole de routage dynamique pris en charge par nom, port et description.
Protocole de routage dynamique |
Port |
Description |
---|---|---|
RIP |
520 |
RIP est un protocole de routage à vecteur de distance courant. |
OSPF |
89 |
OSPF est un protocole de routage à état de liaison commun. |
BGP |
179 |
BGP est un protocole de routage externe/interdomaine. |
Comprendre les applications de stratégies prédéfinies pour les vidéos en streaming
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de streaming vidéo prédéfinies pour la stratégie.
Le Tableau 4 répertorie chaque application de streaming vidéo prise en charge par son nom, ainsi que le port et la description par défaut. En fonction des besoins de votre réseau, vous pouvez autoriser ou refuser tout ou partie de ces applications.
Application |
Port |
Description |
---|---|---|
H.323 |
Source TCP 1-65535 ; Destination TCP 1720, 1503, 389, 522, 1731 Source UDP 1-65535 ; Source UDP 1719 |
H.323 est une norme approuvée par l’Union internationale des télécommunications (UIT) qui définit la manière dont les données de conférence audiovisuelle sont transmises à travers les réseaux. |
Netmeeting |
Source TCP 1-65535 ; Destination TCP 1720, 1503, 389, 522 Source UDP 1719 |
Microsoft NetMeeting utilise TCP pour fournir des applications de téléconférence (vidéo et audio) sur Internet. |
Médias réels |
Source TCP 1-65535 ; Destination TCP 7070 |
Real Media est une technologie de streaming vidéo et audio. |
RTSP |
554 |
Le protocole RTSP (Real-Time Streaming Protocol) est destiné aux applications de streaming multimédia |
SIP |
5056 |
Le protocole SIP (Session Initiation Protocol) est un protocole de contrôle de la couche applicative permettant de créer, de modifier et de clôturer des sessions. |
VDO en direct |
Source TCP 1-65535 ; Destination TCP 7000-7010 |
VDOLive est une technologie de streaming vidéo évolutive. |
Présentation des applications de stratégies prédéfinies Sun RPC
Lorsque vous créez une stratégie, vous pouvez spécifier des applications Sun RPC prédéfinies pour la stratégie.
Le Tableau 5 répertorie le nom, les paramètres et le nom complet de chaque application de la passerelle de la couche applicative (RPC ALG) d’appel de procédure à distance Sun.
Application |
Numéros de programme |
Nom et prénom |
---|---|---|
SUN-RPC-PORTMAPPER |
111100000 |
Protocole Sun RPC Portmapper |
SOLEIL-RPC-N’IMPORTE QUEL |
TOUT |
Toutes les applications Sun RPC |
SUN-RPC-PROGRAM-MOUNTD |
100005 |
Sun RPC Mount Daemon |
SUN-RPC-PROGRAM-NFS |
100003 100227 |
Système de fichiers réseau Sun RPC |
SUN-RPC-PROGRAM-NLOCKMGR |
100021 |
Gestionnaire de verrous réseau Sun RPC |
SUN-RPC-PROGRAM-RQUOTAD |
100011 |
Sun RPC Remote Quota Daemon |
SUN-RPC-PROGRAM-RSTATD |
100001 |
Démon d’état distant Sun RPC |
SUN-RPC-PROGRAM-RUSERD |
100002 |
Démon utilisateur distant Sun RPC |
SUN-RPC-PROGRAM-SADMIND |
100232 |
Démon d’administration système Sun RPC |
SUN-RPC-PROGRAM-PULVÉRISÉ |
100012 |
Sun RPC Spray Daemon |
STATUT DU PROGRAMME SUN RPC |
100024 |
Statut du Sun RPC |
SUN-RPC-PROGRAM-WALLD |
100008 |
Sun RPC Wall Daemon |
SUN-RPC-PROGRAM-YPBIND |
100007 |
Application de reliure de pages jaunes SUN RPC |
Comprendre l’application des politiques prédéfinies de sécurité et de tunnel
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de sécurité et de tunnel prédéfinies pour la stratégie.
Le Tableau 6 répertorie chaque application prise en charge et donne le(s) port(s) par défaut ainsi qu’une description de chaque entrée.
Application |
Port |
Description |
---|---|---|
IKE |
Source UDP 1-65535 ; Destination UDP 500 |
Internet Key Exchange est le protocole qui établit une association de sécurité dans la suite de protocoles IPsec. Le protocole IKE (Internet Key Protocol) est un protocole permettant d’obtenir du matériel de clé authentifié à utiliser avec ISAKMP. |
IKE-NAT |
4500 |
IKE : la traduction d’adresses réseau (NAT) effectue un NAT de couche 3 pour le trafic IKE S2C. |
L2TP |
1701 |
L2TP combine PPTP avec le transfert de couche 2 (L2F) pour l’accès à distance. |
PPTP |
1723 |
Le protocole de tunnelisation point à point permet aux entreprises d’étendre leur propre réseau privé via des tunnels privés sur l’Internet public. |
Comprendre les applications de stratégies prédéfinies de messagerie instantanée
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de messagerie instantanée prédéfinies pour la stratégie.
Le Tableau 8 répertorie les applications de messagerie Internet prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou attribué et une description de l’application.
Application |
Port |
Description |
---|---|---|
Gnutella |
6346 (par défaut) |
Gnutella est un protocole de partage de fichiers du domaine public qui fonctionne sur un réseau distribué. Vous pouvez attribuer n’importe quel port, mais la valeur par défaut est 6346. |
MSN |
1863 |
Microsoft Network Messenger est un utilitaire qui vous permet d’envoyer des messages instantanés et de parler en ligne. |
NNTP |
119 |
Network News Transport Protocol est un protocole utilisé pour publier, distribuer et récupérer des messages USENET. |
SMB |
445 |
Server Message Block (SMB) over IP est un protocole qui vous permet de lire et d’écrire des fichiers sur un serveur sur un réseau. |
YMSG (en anglais seulement) |
5010 |
Yahoo ! Messenger est un utilitaire qui vous permet de vérifier quand d’autres personnes sont en ligne, d’envoyer des messages instantanés et de parler en ligne. |
Comprendre les applications de stratégies prédéfinies de gestion
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de gestion prédéfinies pour la stratégie.
Le Tableau 9 répertorie les applications de gestion prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou attribué et une description de l’application.
Application |
Port |
Description |
---|---|---|
Nom NB |
137 |
L’application de nom NetBIOS affiche tous les paquets de noms NetBIOS envoyés sur le port UDP 137. |
NDBDS (en anglais seulement) |
138 |
L’application NetBIOS Datagram, publiée par IBM, fournit des applications sans connexion (datagramme) aux PC connectés à un support de diffusion pour localiser les ressources, lancer des sessions et mettre fin à des sessions. Ce n’est pas fiable et les paquets ne sont pas séquencés. |
NFS |
— |
Le système de fichiers réseau utilise UDP pour permettre aux utilisateurs du réseau d’accéder aux fichiers partagés stockés sur des ordinateurs de différents types. SUN RPC est un élément constitutif de NFS. |
NS Global |
— |
NS-Global est le protocole de gestion central pour les périphériques pare-feu/VPN de Juniper Networks. |
NS Global PRO |
— |
NS Global-PRO est le système de surveillance évolutif pour la famille d’appareils pare-feu/VPN de Juniper Networks. |
NSM |
— |
Responsable réseau et sécurité |
NTP |
123 |
Le protocole Network Time Protocol permet aux ordinateurs de se synchroniser avec une référence temporelle. |
RLOGIN |
513 |
RLOGIN démarre une session de terminal sur un hôte distant. |
RSH |
514 |
RSH exécute une commande shell sur un hôte distant. |
SNMP |
161 |
Le protocole de gestion de réseau simple est un ensemble de protocoles permettant de gérer des réseaux complexes. |
SQL*Net V1 |
66 |
SQL*Net Version 1 est un langage de base de données qui permet la création, l’accès, la modification et la protection des données. |
SQL*Net V2 |
66 |
SQL*Net Version 2 est un langage de base de données qui permet la création, l’accès, la modification et la protection des données. |
MSSQL |
1433 (instance par défaut) |
Microsoft SQL est un outil de serveur de base de données propriétaire qui permet la création, l’accès, la modification et la protection des données. |
SSH |
22 |
SSH est un programme permettant de se connecter à un autre ordinateur sur un réseau par le biais d’une authentification forte et de communications sécurisées sur un canal non sécurisé. |
SYSLOG |
514 |
Syslog est un programme UNIX qui envoie des messages à l’enregistreur système. |
Parler |
517-518 |
Talk est un programme de communication visuelle qui copie les lignes de votre terminal vers celui d’un autre utilisateur. |
Telnet |
23 |
Telnet est un programme UNIX qui fournit une méthode standard d’interfaçage entre les périphériques terminaux et les processus orientés terminaux. |
WinFrame |
— |
WinFrame est une technologie qui permet aux utilisateurs d’ordinateurs non Windows d’exécuter des applications Windows. |
X-Windows |
— |
X-Windows est le système de fenêtrage et de graphisme sur lequel Motif et OpenLook sont basés. |
Présentation des applications de stratégies prédéfinies de messagerie
Lorsque vous créez une stratégie, vous pouvez spécifier des applications de messagerie prédéfinies pour la stratégie.
Le Tableau 10 répertorie les applications de messagerie prédéfinies. Chacun d’eux comprend le nom de l’application, le numéro de port par défaut ou attribué et une description de l’application.
Application |
Port |
Description |
---|---|---|
IMAP |
143 |
Le protocole d’accès aux messages Internet est utilisé pour récupérer les messages. |
Courrier (SMTP) |
25 |
Le protocole de transfert de courrier simple est utilisé pour envoyer des messages entre les serveurs. |
POP3 (en anglais seulement) |
110 |
Le protocole postal est utilisé pour récupérer les e-mails. |
Comprendre les applications de stratégies prédéfinies UNIX
Lorsque vous créez une stratégie, vous pouvez spécifier des applications UNIX prédéfinies pour la stratégie.
Le Tableau 11 répertorie les applications UNIX prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou attribué et une description de l’application.
Application |
Port |
Description |
---|---|---|
DOIGT |
79 |
Finger est un programme UNIX qui fournit des informations sur les utilisateurs. |
UUCP |
117 |
UNIX-to-UNIX Copy Protocol (UUCP) est un utilitaire UNIX qui permet de transférer des fichiers entre deux ordinateurs via une connexion série ou modem directe. |
Comprendre diverses applications de stratégies prédéfinies
Lorsque vous créez une stratégie, vous pouvez spécifier diverses applications prédéfinies pour la stratégie.
Le tableau 12 énumère les applications diverses prédéfinies. Chaque entrée comprend le nom de l’application, le port par défaut ou attribué, ainsi qu’une description de l’application.
Application |
Port |
Description |
---|---|---|
CHARGEN |
19 |
Character Generator Protocol est un outil de débogage et de mesure basé sur UDP ou TCP. |
JETER |
9 |
Le protocole Discard est un protocole de couche applicative qui décrit un processus de suppression des données TCP ou UDP envoyées au port 9. |
IDENT |
113 |
Le protocole d’identification est un protocole de couche applicative TCP/IP utilisé pour l’authentification des clients TCP. |
LPR |
515 écouter ; 721-731 Plage de sources (inclusivement) |
Le protocole Line Printer Daemon est un protocole basé sur TCP utilisé pour les applications d’impression. |
RAYON |
1812 |
L’application Remote Authentication Dial-In User Service est un programme serveur utilisé à des fins d’authentification et de comptabilité. |
Comptabilité RADIUS |
1813 |
Un serveur de comptabilité RADIUS reçoit des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local. |
SQLMON |
1434 (port SQL Monitor) |
Moniteur SQL (Microsoft) |
VNC |
5800 |
Le Virtual Network Computing facilite l’affichage et l’interaction avec un autre ordinateur ou appareil mobile Juniper Networks connecté à Internet. |
WHOIS |
43 |
Network Directory Application Protocol est un moyen de rechercher des noms de domaine. |
SCCP |
2000 |
Le protocole SCCP (Cisco Station Call Control Protocol) utilise le port de contrôle de la connexion de signalisation pour assurer une haute disponibilité et un contrôle de flux. |
Comprendre les applications de politiques prédéfinies ICMP
Lorsque vous créez une stratégie, vous pouvez spécifier l’application ICMP prédéfinie pour la stratégie.
Internet Control Message Protocol (ICMP) fait partie d’IP et permet d’interroger un réseau (messages de requête ICMP) et de recevoir un retour du réseau pour identifier des modèles d’erreur (messages d’erreur ICMP). Cependant, ICMP ne garantit pas la livraison des messages d’erreur et ne signale pas tous les datagrammes perdus ; Et ce n’est pas un protocole fiable. Les codes ICMP et les codes de type décrivent les messages de requête ICMP et les messages d’erreur ICMP.
Vous pouvez choisir d’autoriser ou de refuser tout ou partie des types de messages ICMP afin d’améliorer la sécurité du réseau. Certains types de messages ICMP peuvent être exploités pour obtenir des informations sur votre réseau susceptibles de compromettre la sécurité. Par exemple, des paquets ICMP, TCP ou UDP peuvent être construits pour renvoyer des messages d’erreur ICMP contenant des informations sur un réseau, telles que sa topologie et les caractéristiques de filtrage des listes d’accès. Le Tableau 13 répertorie les noms des messages ICMP, le code, le type et la description correspondants.
Nom du message ICMP |
Type |
Code |
Description |
---|---|---|---|
ICMP-ANY |
Tous |
Tous |
ICMP-ANY affecte n’importe quel protocole utilisant ICMP. Le refus d’ICMP-ANY nuit à toute tentative de pinging ou de surveillance d’un réseau à l’aide d’ICMP. L’autorisation de ICMP-ANY autorise tous les messages ICMP. |
MASQUE D’ADRESSE ICMP
|
17 18 |
0 0 |
La requête de masque d’adresse ICMP est utilisée pour les systèmes qui ont besoin du masque de sous-réseau local à partir d’un serveur d’amorçage. Le refus de messages de demande de masque d’adresse ICMP peut affecter négativement les systèmes sans disque. L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres personnes de prendre l’empreinte digitale du système d’exploitation d’un hôte de votre réseau. |
ICMP-DEST-UNREACH |
3 |
0 |
Le message d’erreur ICMP destination inaccessible indique que l’hôte de destination est configuré pour rejeter les paquets. Les codes 0, 1, 4 ou 5 peuvent provenir d’une passerelle. Les codes 2 ou 3 peuvent provenir d’un hôte (RFC 792). Le refus des messages d’erreur indiquant la destination ICMP inaccessible peut supprimer l’hypothèse selon laquelle un hôte est opérationnel derrière un pare-feu SRX Series. L’autorisation des messages d’erreur ICMP de destination inaccessible peut permettre de faire certaines hypothèses, telles que le filtrage de sécurité, sur le réseau. |
Fragment ICMP requis |
3 |
4 |
Le message d'erreur de fragmentation ICMP indique que la fragmentation est nécessaire, mais l'indicateur Do Not Fragment (Ne pas fragmenter) est défini. Nous vous recommandons de refuser ces messages d’Internet vers un réseau interne. |
ICMP FragmentReassembly |
11 |
1 |
L’erreur Le temps de réassemblage des fragments ICMP dépassé indique qu’un hôte qui réassemble un message fragmenté a manqué de temps et a abandonné le paquet. Ce message est parfois envoyé. Nous vous recommandons de refuser ces messages d’Internet (externe) vers le réseau de confiance (interne). |
ICMP-HÔTE-UNREACH |
3 |
1 |
Les messages d’erreur ICMP hôte inaccessible indiquent que les entrées de la table de routage ne répertorient pas ou ne répertorient pas à l’infini un hôte particulier. Parfois, cette erreur est envoyée par des passerelles qui ne peuvent pas se fragmenter lors de la réception d’un paquet nécessitant une fragmentation. Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé. L’autorisation de ces messages permet à d’autres personnes de déterminer les adresses IP de vos hôtes internes par un processus d’élimination ou de faire des hypothèses sur les passerelles et la fragmentation. |
ICMP-INFO
|
15 16 |
0 0 |
Les messages de requête ICMP-INFO permettent aux systèmes hôtes sans disque d’interroger le réseau et de s’autoconfigurer. Le refus de messages de demande de masque d’adresse ICMP peut affecter négativement les systèmes sans disque. L’autorisation des messages de demande de masque d’adresse ICMP peut permettre à d’autres utilisateurs de diffuser des requêtes d’informations sur un segment de réseau pour déterminer le type d’ordinateur. |
PROBLÈME DE PARAMÈTRE_ICMP |
12 |
0 |
Les messages d’erreur de problème de paramètre ICMP vous avertissent lorsque des paramètres d’en-tête incorrects sont présents et ont entraîné la suppression d’un paquet Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé. L’autorisation des messages d’erreur de problème de paramètre ICMP permet à d’autres utilisateurs de faire des hypothèses sur votre réseau. |
ICMP-PORT-UNREACH |
3 |
3 |
Les messages d’erreur ICMP port unreachability indiquent que les passerelles traitant des datagrammes demandant certains ports ne sont pas disponibles ou ne sont pas prises en charge sur le réseau. Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé. L’autorisation des messages d’erreur ICMP port inaccessible peut permettre à d’autres utilisateurs de déterminer quels ports vous utilisez pour certains protocoles. |
ICMP-PROTOCOL-UNREACH |
3 |
2 |
Les messages d’erreur ICMP protocol unreachable indiquent que les passerelles traitant des datagrammes demandant certains protocoles ne sont pas disponibles ou ne sont pas prises en charge sur le réseau. Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé. Si vous autorisez les messages d’erreur ICMP inaccessibles, vous pouvez permettre à d’autres utilisateurs de déterminer les protocoles exécutés par votre réseau. |
ICMP-REDIRECT |
5 |
0 |
Les messages d’erreur réseau de redirection ICMP sont envoyés par un pare-feu SRX Series. Nous vous recommandons de refuser ces messages d’Internet à un réseau approuvé. |
ICMP-REDIRECT-HOST |
5 |
1 |
Les messages de redirection ICMP indiquent que les datagrammes destinés à l’hôte spécifié doivent être envoyés le long d’un autre chemin. |
ICMP-REDIRECT-TOS-HOST |
5 |
3 |
Le type de service de redirection ICMP (TOS) et l’erreur d’hôte sont un type de message. |
ICMP-REDIRECT-TOS-NET |
5 |
2 |
Les conditions d’utilisation de redirection ICMP et l’erreur réseau sont un type de message. |
ICMP-SOURCE-QUENCH |
4 |
0 |
Le message d’erreur de trempe de source ICMP indique qu’un périphérique ne dispose pas de l’espace tampon disponible pour accepter, mettre en file d’attente et envoyer les paquets au saut suivant. Le refus de ces messages n’aidera ni ne nuira aux performances du réseau interne. L’autorisation de ces messages peut permettre à d’autres personnes de savoir qu’un appareil est encombré, ce qui en fait une cible d’attaque viable. |
ICMP-SOURCE-ROUTE-FAIL |
3 |
5 |
Message d’erreur d’échec de la route source ICMP Nous vous recommandons de refuser ces messages provenant d’Internet (externe). |
ICMP-TIME-EXCEEDED |
11 |
0 |
Le message d'erreur de dépassement du temps de vie (TTL) ICMP indique que le paramètre TTL d'un paquet a atteint zéro avant que le paquet n'atteigne sa destination. Cela permet de s’assurer que les paquets plus anciens sont éliminés avant que ceux qui ne renvoient ne soient traités. Nous vous recommandons de refuser ces messages d’un réseau de confiance vers Internet. |
ICMP-HORODATAGE
|
13 14 |
0 0 |
Les messages de requête ICMP-TIMESTAMP permettent de synchroniser l’heure et de coordonner la distribution de l’heure sur un réseau vaste et diversifié. |
Ping (ICMP ECHO) |
8 |
0 |
Ping est un utilitaire permettant de déterminer si un hôte spécifique est accessible par son adresse IP. Refuser la fonctionnalité ping vous empêche de vérifier si un hôte est actif. Autoriser ping peut permettre à d’autres personnes d’exécuter une attaque par déni de service (DoS) ou Schtroumpf. |
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE |
11 |
1 |
Le message d’erreur Temps de réassemblage de l’écho de fragment ICMP a expiré indique que le temps de réassemblage a été dépassé. Nous vous recommandons de refuser ces messages. |
Traceroute
|
30 30 |
0 1 |
Traceroute est un utilitaire permettant d’indiquer le chemin d’accès à un hôte spécifique. Nous vous recommandons de refuser cet utilitaire d’Internet (externe) à votre réseau de confiance (interne). |
Comportement par défaut des erreurs ICMP inaccessibles
Pour différents niveaux de sécurité, le comportement par défaut des erreurs ICMP inaccessibles est géré comme suit :
Les sessions sont fermées pour les messages ICMP de type 3, code 0, code 1, code 2 et code 3 uniquement lorsque les conditions suivantes sont remplies :
Le message ICMP inaccessible est reçu dans le sens serveur-client.
Aucun paquet normal n’est reçu dans le sens serveur-client.
Dans le cas contraire, les sessions ne se ferment pas.
Les sessions ne se ferment pas pour les messages ICMP de type 3, code 4.
Exemple : Définition d’une application ICMP personnalisée
Cet exemple montre comment définir une application ICMP personnalisée.
Exigences
Avant de commencer :
Comprendre l’application des stratégies personnalisées. Reportez-vous à la section Présentation des applications de stratégies personnalisées.
Comprendre l’application des stratégies prédéfinies ICMP. Reportez-vous à la section Présentation des applications de stratégies prédéfinies ICMP.
Aperçu
Junos OS prend en charge ICMP, ainsi que plusieurs messages ICMP, en tant qu’applications prédéfinies ou personnalisées. Lors de la configuration d’une application ICMP personnalisée, vous définissez un type et un code.
Il existe différents types de messages au sein d’ICMP. Par exemple :
type 0 = Message de demande d’écho
type 3 = Message Destination inaccessible
Un type de message ICMP peut également avoir un code de message. Le code fournit des informations plus précises sur le message, comme indiqué dans le tableau 14.
Tableau 14 : descriptions des messages Message Type
Message Code
5 = Rediriger
0 = Datagramme de redirection pour le réseau (ou sous-réseau)
1 = Rediriger le datagramme pour l’hôte
2 = Datagramme de redirection pour le type d’application et de réseau
3 = Datagramme de redirection pour le type d’application et d’hôte
11 = Codes de dépassement de temps
0 = Temps de vie dépassé pendant le transit
1 = Temps de réassemblage du fragment dépassé
Junos OS prend en charge tout type ou code compris dans la plage de 0
55
.
Dans cet exemple, vous définissez une application personnalisée nommée host-unreachable en utilisant ICMP comme protocole de transport. Le type est 3 (pour destination inaccessible) et le code est 1 (pour hôte inaccessible). Vous définissez la valeur du délai d’attente à 4 minutes.
Pour plus d’informations sur les types et les codes ICMP, reportez-vous à la RFC 792, Internet Control Message Protocol.
Configuration
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour définir une application ICMP personnalisée :
Définissez le type et le code de l’application.
[edit applications application host-unreachable] user@host# set icmp-type 5 icmp-code 0
Définissez la valeur du délai d’inactivité.
[edit applications application host-unreachable] user@host# set inactivity-timeout 4
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show applications
commande.