Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

論理システム向け ALG

論理システムの ALG(アプリケーション レイヤー ゲートウェイ)により、ゲートウェイはアプリケーション レイヤー ペイロードを解析し、アプリケーション サーバーへのトラフィックを許可または拒否するかどうかを決定できます。ALGは、FTP(Transfer Protocol)や、アプリケーションがデータ接続を開く動的な伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)ポートを通信するためにアプリケーション層ペイロードを使用するさまざまなIPプロトコルなどのアプリケーションをサポートしています。詳細については、以下のトピックを参照してください。

論理システムの ALG(アプリケーション レイヤー ゲートウェイ)について

プライマリ管理者は、ルート レベルで ALG を設定できます。この設定は、すべてのユーザー論理システムによって継承されます。ALGは、ユーザー論理システムに対して個別に設定することもできます。ALG ステータスは、すべてのユーザー論理システムで継承されるわけではありません。新しく作成された論理システムの場合、ALG はデフォルトのステータスで構成されます。FTP プロトコル ALG は、特定の論理システムに対して有効または無効にできます。ICMP ALG プロトコルはデフォルトで有効になっており、無効化するためにプロビジョニングされていません。

メモ:

SRX シリーズ ファイアウォールが 18.2 リリースにアップグレードされると、論理システムの ALG ステータスは以前のステータスと比較して変更されます。この変更は、論理システム内の ALG トラフィックに影響を与えます。たとえば、アップグレードの前に、ルートごとに H.323 ALG が有効に設定されています。lsys1ではH.323 ALGも有効になっています18.2にアップグレードした後、新しい論理システムではH.323のデフォルトステータスが無効になっているため、lsys1のH.323 ALGステータスは無効になります。

メモ:

特定の ALG を有効にできるのは、1 つの論理システムのみです。

デフォルトでは、ルート論理システムでは以下の ALG が有効になっています。

  • Dns

  • Ftp

  • MSRPC

  • Pptp

  • SUNRPC

  • Tftp

Junos OSリリース18.2R1以降、各論理システムのALG設定を個別に有効または無効にし、すべての論理システムまたは特定の論理システムのALGのステータスを表示できます。論理システムでは、12 個のデータ ALG(DNS、FTP、TFTP、MSRPC、SUNRPC、PPTP、RSH、RTSP、TALK、SQL、IKE、TWAMP)と 4 つの VOIP ALG(SIP、H.323、MGCP、SCCP)がサポートされています。

論理システムの ALG の有効化と無効化

このトピックでは、各論理システムの ALG ステータスを有効または無効にする方法を示します。

  1. デフォルトでは、論理システムではIKE ALGは無効になっています。この ALG を有効にするには、次のコマンドを使用します。
    • NAT で IKE および ESP ALG を有効にします。

  2. デフォルトでは、DNS、FTP、PPTP、SIP、SUNRPC、TWAMP ALG が論理システムで有効になっています。これらの ALG を無効にするには、以下のコマンドを使用します。
    • DNS ALG を無効にします。

    • FTP ALG を無効にします。

    • H323 ALG を無効にします。

    • MGCP ALG を無効にします。

    • MSRPC ALG を無効にします。

    • PPTP ALG を無効にします。

    • RSH ALG を無効にします。

    • RTSP ALG を無効にします。

    • SCCP ALG を無効にします。

    • SIP ALG を無効にします。

    • SQL ALG を無効にします。

    • SUNRPC ALG を無効にします。

    • TALK ALG を無効にします。

    • TFTP ALG を無効にします。

  3. 論理システムでの ALG 機能の設定。
    • DNS ALG を設定します。

    • FTP ALG を設定します。

    • H323 ALGを設定します。

    • IKEおよびESP ALGをNATで設定します。

    • MGCP ALG を設定します。

    • MSRPC ALGを設定します。

    • PPTP ALG を設定します。

    • RSH ALG を設定します。

    • RTSP ALG を設定します。

    • SCCP ALGを設定します。

    • SIP ALG を設定します。

    • SQL ALG を設定します。

    • SUNRPC ALG を設定します。

    • TALK ALG を設定します。

    • TFTP ALGを設定します。

    • TWAMP ALG を設定します。

    • FTP ALG の拡張機能を設定します。

    • MSRPC ALG の拡張機能を設定します。

    • SUNRPC ALG の拡張機能を設定します。

    • SIP ALG の拡張機能を設定します。

例:論理システムでの FTP ALG の有効化

この例では、論理システムの FTP ALG 設定を有効または無効にし、論理システムの FTP ALG 設定に基づいてトラフィックを個別に送信する方法を示します。

要件

開始する前に、以下を行います。

概要

この例では、FTP の ALG は、論理システム上のクライアントとサーバー間で FTP トラフィックを交換することを監視し、許可するように設定されています。

デフォルトでは、FTP ALG は論理システムで有効になっています。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

論理システムでの FTP ALG の設定

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザー論理システムで ALG を設定するには、

  1. セキュリティプロファイルを設定します。

  2. プライマリ論理システムを設定します。

    手順
    1. プライマリ論理システムの作成

    2. プライマリ論理システムのインターフェイスを設定し、論理トンネルインターフェイスとLSYS0へのルーティングインスタンスを設定します。

    3. セキュリティー・プロファイル p1 を設定し、ルート論理システム LSYS0 に割り当てます。

  3. ユーザー論理システムを設定します。

    手順

    1. ユーザー論理システム LSYS1 の作成

    2. ユーザーの論理および論理トンネルインターフェイスを設定して、論理システム内のトラフィックを転送します。

    3. セキュリティー・プロファイル p1 を LSYS1 に割り当てます。

    4. セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  4. LSYS1_tzoneからLSYS1_utzoneへの FTP トラフィックを許可するセキュリティ ポリシーを設定します。

結果

設定モードから、 を入力してLSYS0とLSYS1の設定を確認します show logical-systems。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ユーザー論理システムの ALG ステータスの検証

目的

FTP の alg ステータスが有効になっていることを確認します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show security alg status logical-system LSYS1 入力します。

意味

出力には、論理システム LSYS1 の FTP Enabled の alg ステータスが表示されます。

すべての論理システムの ALG ステータスを検証する

目的

デバイス上のすべての論理システムの ALG ステータスを検証します。

アクション

設定が正常に機能していることを確認するには、 コマンドを show security alg status logical-system all 入力します。

意味

出力には、デバイス上のすべての論理システムの ALG ステータスが表示されます。

論理システム上の論理システム内トラフィックの検証

目的

リソース・マネージャーによって作成されたアクティブ・リソース、クライアント、グループ、およびセッションに関する情報を検証します。

アクション

動作モードから、 コマンドを show security resource-manager summary 入力します。

意味

出力には、リソース・マネージャーによって作成されたアクティブ・リソース、クライアント、グループ、およびセッションに関する要約情報が表示されます。