論理システム向けALG
論理システムのアプリケーション層ゲートウェイ(ALG)により、ゲートウェイはアプリケーション層のペイロードを解析し、アプリケーションサーバーへのトラフィックを許可または拒否するかどうかを決定できます。ALGは、アプリケーション層ペイロードを使用して、アプリケーションがデータ接続を開く動的伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)ポートを通信する転送プロトコル(FTP)やさまざまなIPプロトコルなどのアプリケーションをサポートします。詳細については、次のトピックを参照してください。
論理システムのアプリケーション層ゲートウェイ(ALG)について
プライマリ管理者は、ルートレベルでALGを設定できます。設定は、すべてのユーザー論理システムに継承されます。ALGは、ユーザーの論理システム用に個別に設定することもできます。ALGステータスは、すべてのユーザー論理システムに継承されるわけではありません。新しく作成された論理システムの場合、ALGはデフォルトのステータスで構成されます。FTPプロトコルALGは、特定の論理システムに対して有効または無効にすることができます。ICMP ALGプロトコルはデフォルトで有効になっており、無効にするようにプロビジョニングされていません。
SRXシリーズファイアウォールを18.2リリースにアップグレードすると、論理システムのALGステータスが以前のステータスと比較すると変更されます。この変更は、論理システム内のALGトラフィックに影響します。例えば、アップグレード前は、H.323 ALGがルートで有効にするように設定されています。そのため、H.323 ALGはlsys1でも有効になっています。18.2にアップグレードすると、新しい論理システムではH.323のデフォルトステータスが無効になっているため、lsys1のH.323 ALGステータスは無効になります。
特定のALGは、1つの特定の論理システムに対してのみ有効にできます。
デフォルトでは、以下のALGがルート論理システムで有効になっています。
DNS
FTP
MSRPC
PPTP
サンRPC
トーク
TFTP
Junos OSリリース18.2R1以降、各論理システムのALG設定を個別に有効または無効にしたり、すべての論理システムまたは特定の論理システムのALGのステータスを表示したりできます。論理システムでは、12のデータALG(DNS、FTP、TFTP、MSRPC、SUNRPC、PPTP、RSH、RTSP、TALK、SQL、IKE、TWAMP)と4つのVOIP ALG(SIP、H.323、MGCP、SCCP)がサポートされています。
関連項目
論理システム向けALGの有効化および無効化
このトピックでは、各論理システムのALGステータスを有効または無効にする方法について説明します。
例:論理システムでのFTP ALGの有効化
この例では、論理システムでFTP ALG設定を有効または無効にし、論理システムのFTP ALG設定に基づいて個別にトラフィックを送信する方法を示します。
要件
始める前に:
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
概要
この例では、FTP向けALGが、論理システム上のクライアントとサーバー間でのFTPトラフィックの交換を監視し、許可するように設定されています。
デフォルトでは、FTP ALGは論理システムで有効になっています。
設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 routing-instances vr0 instance-type vpls set logical-systems LSYS0 routing-instances vr0 interface lt-0/0/0.0 set system security-profile p1 logical-system LSYS0 set system security-profile p1 logical-system LSYS1 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 0 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 10.0.0.0/8 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet address 198.51.100.0/24 set logical-systems LSYS1 interfaces ge-0/0/1 unit 0 family inet address 203.0.113.0/24 set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_tzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_tzone interfaces ge-0/0/0 set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone LSYS1_utzone host-inbound-traffic protocol all set logical-systems LSYS1 security zones security-zone LSYS1_utzone interfaces ge-0/0/1 set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping set logical-systems LSYS1 security policies from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit set logical-systems LSYS1 security policies default-policy deny-all
論理システムでのFTP ALGの設定
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムでALGを設定するには:
セキュリティプロファイルを設定します。
[edit system security-profile] user@host#set p1 policy maximum 100 user@host#set p1 policy reserved 50 user@host#set p1 zone maximum 100 user@host#set p1 zone reserved 50 user@host#set p1 flow-session maximum 6291456 user@host#set p1 flow-session reserved 50 user@host#set p1 flow-gate maximum 524288 user@host#set p1 flow-gate reserved 50
プライマリ論理システムを設定します。
ステップバイステップの手順
プライマリ論理システムを作成する
[edit logical-systems] user@host#set LSYS0 user@host#set LSYS1
プライマリ論理システムのインターフェイスを設定し、LSYS0への論理トンネルインターフェイスとルーティングインスタンスを設定します。
[edit interfaces] user@host#set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host#set lt-0/0/0 unit 0 peer-unit 1 user@host#set routing-instances vr0 instance-type vpls user@host#set routing-instances vr0 interface lt-0/0/0.0
セキュリティプロファイルp1を設定し、ルート論理システムLSYS0に割り当てます。
[edit system security-profile] user@host#set p1 logical-system LSYS0
ユーザー論理システムを設定します。
ステップバイステップの手順
ユーザー論理システム LSYS1 を作成します。
[edit logical-systems] user@host#set LSYS1
ユーザーの論理および論理トンネルインターフェイスを設定して、論理システム内でトラフィックを転送します。
[edit interfaces] user@host#set ge-0/0/0 unit 0 family inet address 198.51.100.0/24 user@host#set ge-0/0/1 unit 0 family inet address 203.0.113.0/24 user@host#set lt-0/0/0 unit 1 encapsulation ethernet user@host#set lt-0/0/0 unit 1 peer-unit 0 user@host#set lt-0/0/0 unit 1 family inet address 10.0.0.0/8
セキュリティプロファイルp1をLSYS1に割り当てます。
[edit system security-profile] user@host#set p1 logical-system LSYS1
セキュリティゾーンを設定し、各ゾーンにインターフェイスを割り当てます。
[edit security zones] user@host#set security-zone LSYS1_tzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_tzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_tzone interfaces ge-0/0/0 user@host#set security-zone LSYS1_utzone host-inbound-traffic system-services all user@host#set security-zone LSYS1_utzone host-inbound-traffic protocol all user@host#set security-zone LSYS1_utzone interfaces ge-0/0/1
LSYS1_tzoneからLSYS1_utzoneへのFTPトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies] user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match source-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match destination-address any user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ftp user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 match application junos-ping user@host#set from-zone LSYS1_tzone to-zone LSYS1_utzone policy p11 then permit user@host#set default-policy deny-all
結果
設定モードから、 show logical-systemsを入力してLSYS0とLSYS1の設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host#show logical-systems LSYS0
interfaces {
lt-0/0/0 {
unit 0 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 2 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
}
routing-instances {
vr0 {
instance-type vpls;
interface lt-0/0/0.0;
interface lt-0/0/0.2;
}
}
user@host#show logical-systems LSYS1
interfaces {
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 10.0.1.1/24;
}
}
}
reth0 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
}
security {
alg{
ftp;
}
policies {
from-zone LSYS1_tzone to-zone LSYS1_utzone {
policy P11 {
match {
source-address any;
destination-address any;
application [ junos-ping junos-ftp ];
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LSYS1_tzone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone LSYS1_utzone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
ユーザー論理システムのALGステータスの確認
目的
FTPのalgステータスが有効になっていることを確認します。
アクション
設定が正常に機能していることを確認するには、 show security alg status logical-system LSYS1 コマンドを入力します。
user@host> show security alg status logical-system LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled意味
出力は、論理システムLSYS1のFTP有効のalgステータスを表示します。
すべての論理システムのALGステータスの確認
目的
デバイス上のすべての論理システムのALGステータスを確認します。
アクション
設定が正常に機能していることを確認するには、 show security alg status logical-system all コマンドを入力します。
user@host> show security alg status logical-system all
Logical system: root-logical-system
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS3
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS1
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS2
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Enabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
Logical system: LSYS0
ALG Status:
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Disabled
RTSP : Disabled
SCCP : Disabled
SIP : Disabled
SQL : Disabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
TWAMP : Disabled
意味
出力には、デバイス上のすべての論理システムのALGステータスが表示されます。
論理システムでの論理システム内トラフィックの検証
目的
リソースマネージャーを通じて作成されたアクティブなリソース、クライアント、グループ、およびセッションに関する情報を確認します。
アクション
動作モードから、 show security resource-manager summary コマンドを入力します。
user@host> show security resource-manager summary
Active resource-manager clients : 16
Active resource-manager groups : 3
Active resource-manager resources : 26
Active resource-manager sessions : 4
意味
出力には、リソースマネージャーを通じて作成されたアクティブなリソース、クライアント、グループ、およびセッションに関する概要情報が表示されます。