論理システム向け ALG
論理システムの ALG(アプリケーション レイヤー ゲートウェイ)により、ゲートウェイはアプリケーション レイヤー ペイロードを解析し、アプリケーション サーバーへのトラフィックを許可または拒否するかどうかを決定できます。ALGは、FTP(Transfer Protocol)や、アプリケーションがデータ接続を開く動的な伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)ポートを通信するためにアプリケーション層ペイロードを使用するさまざまなIPプロトコルなどのアプリケーションをサポートしています。詳細については、以下のトピックを参照してください。
論理システムの ALG(アプリケーション レイヤー ゲートウェイ)について
プライマリ管理者は、ルート レベルで ALG を設定できます。この設定は、すべてのユーザー論理システムによって継承されます。ALGは、ユーザー論理システムに対して個別に設定することもできます。ALG ステータスは、すべてのユーザー論理システムで継承されるわけではありません。新しく作成された論理システムの場合、ALG はデフォルトのステータスで構成されます。FTP プロトコル ALG は、特定の論理システムに対して有効または無効にできます。ICMP ALG プロトコルはデフォルトで有効になっており、無効化するためにプロビジョニングされていません。
SRX シリーズ ファイアウォールが 18.2 リリースにアップグレードされると、論理システムの ALG ステータスは以前のステータスと比較して変更されます。この変更は、論理システム内の ALG トラフィックに影響を与えます。たとえば、アップグレードの前に、ルートごとに H.323 ALG が有効に設定されています。lsys1ではH.323 ALGも有効になっています18.2にアップグレードした後、新しい論理システムではH.323のデフォルトステータスが無効になっているため、lsys1のH.323 ALGステータスは無効になります。
特定の ALG を有効にできるのは、1 つの論理システムのみです。
デフォルトでは、ルート論理システムでは以下の ALG が有効になっています。
Dns
Ftp
MSRPC
Pptp
SUNRPC
話
Tftp
Junos OSリリース18.2R1以降、各論理システムのALG設定を個別に有効または無効にし、すべての論理システムまたは特定の論理システムのALGのステータスを表示できます。論理システムでは、12 個のデータ ALG(DNS、FTP、TFTP、MSRPC、SUNRPC、PPTP、RSH、RTSP、TALK、SQL、IKE、TWAMP)と 4 つの VOIP ALG(SIP、H.323、MGCP、SCCP)がサポートされています。
「」も参照
論理システムの ALG の有効化と無効化
このトピックでは、各論理システムの ALG ステータスを有効または無効にする方法を示します。
例:論理システムでの FTP ALG の有効化
この例では、論理システムの FTP ALG 設定を有効または無効にし、論理システムの FTP ALG 設定に基づいてトラフィックを個別に送信する方法を示します。
要件
開始する前に、以下を行います。
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム構成の概要を参照してください。
概要
この例では、FTP の ALG は、論理システム上のクライアントとサーバー間で FTP トラフィックを交換することを監視し、許可するように設定されています。
デフォルトでは、FTP ALG は論理システムで有効になっています。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 routing-instances vr0 instance-type vpls set logical-systems LSYS0 routing-instances vr0 interface lt-0/0/0.0 set system security-profile p1 logical-system LSYS0 set system security-profile p1 logical-system LSYS1 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 0 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 10.0.0.0/8 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet address 198.51.100.0/24 set logical-systems LSYS1 interfaces ge-0/0/1 unit 0 family inet address 203.0.113.0/24 set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_tzone interfaces ge-0/0/0 set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_utzone interfaces ge-0/0/1 set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit set logical-systems LSYS1 security policies default-policy deny-all
論理システムでの FTP ALG の設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムで ALG を設定するには、
セキュリティプロファイルを設定します。
[edit system security-profile] user@host#set p1 policy maximum 100 user@host#set p1 policy reserved 50 user@host#set p1 zone maximum 100 user@host#set p1 zone reserved 50 user@host#set p1 flow-session maximum 6291456 user@host#set p1 flow-session reserved 50 user@host#set p1 flow-gate maximum 524288 user@host#set p1 flow-gate reserved 50
プライマリ論理システムを設定します。
手順
プライマリ論理システムの作成
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1
プライマリ論理システムのインターフェイスを設定し、論理トンネルインターフェイスとLSYS0へのルーティングインスタンスを設定します。
[edit interfaces] user@host#set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host#set lt-0/0/0 unit 0 peer-unit 1 user@host#set routing-instances vr0 instance-type vpls user@host#set routing-instances vr0 interface lt-0/0/0.0
セキュリティー・プロファイル p1 を設定し、ルート論理システム LSYS0 に割り当てます。
[edit system security-profile] user@host#set p1 logical-system LSYS0
ユーザー論理システムを設定します。
手順
ユーザー論理システム LSYS1 の作成
[edit logical-systems] user@host#set LSYS1
ユーザーの論理および論理トンネルインターフェイスを設定して、論理システム内のトラフィックを転送します。
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 198.51.100.0/24 user@host#set ge-0/0/1 unit 0 family inet address 203.0.113.0/24 user@host#set lt-0/0/0 unit 1 encapsulation ethernet user@host#set lt-0/0/0 unit 1 peer-unit 0 user@host#set lt-0/0/0 unit 1 family inet address 10.0.0.0/8
セキュリティー・プロファイル p1 を LSYS1 に割り当てます。
[edit system security-profile] user@host#set p1 logical-system LSYS1
セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。
[edit security zones] user@host#set security-zone LSYS1_tzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_tzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_tzone interfaces ge-0/0/0 user@host#set security-zone LSYS1_utzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_utzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_utzone interfaces ge-0/0/1
LSYS1_tzoneからLSYS1_utzoneへの FTP トラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies] user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit user@host#set default-policy deny-all
結果
設定モードから、 を入力してLSYS0とLSYS1の設定を確認します show logical-systems
。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host#show logical-systems LSYS0 interfaces { lt-0/0/0 { unit 0 { encapsulation ethernet-vpls; peer-unit 1; } unit 2 { encapsulation ethernet-vpls; peer-unit 3; } } } routing-instances { vr0 { instance-type vpls; interface lt-0/0/0.0; interface lt-0/0/0.2; } }
user@host#show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 0; family inet { address 10.0.1.1/24; } } } reth0 { unit 0 { family inet { address 198.51.100.0/24; } } } } security { alg{ ftp; } policies { from-zone LSYS1_tzone to-zone LSYS1_utzone { policy P11 { match { source-address any; destination-address any; application [ junos-ping junos-ftp ]; } then { permit; } } } default-policy { deny-all; } } zones { security-zone LSYS1_tzone { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone LSYS1_utzone { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.1; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ユーザー論理システムの ALG ステータスの検証
目的
FTP の alg ステータスが有効になっていることを確認します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show security alg status logical-system LSYS1
入力します。
user@host> show security alg status logical-system LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
意味
出力には、論理システム LSYS1 の FTP Enabled の alg ステータスが表示されます。
すべての論理システムの ALG ステータスを検証する
目的
デバイス上のすべての論理システムの ALG ステータスを検証します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show security alg status logical-system all
入力します。
user@host> show security alg status logical-system all
Logical system: root-logical-system
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS3
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS2
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS0
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
意味
出力には、デバイス上のすべての論理システムの ALG ステータスが表示されます。
論理システム上の論理システム内トラフィックの検証
目的
リソース・マネージャーによって作成されたアクティブ・リソース、クライアント、グループ、およびセッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security resource-manager summary
入力します。
user@host> show security resource-manager summary
Active resource-manager clients : 16
Active resource-manager groups : 3
Active resource-manager resources : 26
Active resource-manager sessions : 4
意味
出力には、リソース・マネージャーによって作成されたアクティブ・リソース、クライアント、グループ、およびセッションに関する要約情報が表示されます。