テナント システム向け ALG
テナント システムの ALG(アプリケーション レイヤー ゲートウェイ)により、ゲートウェイはアプリケーション レイヤー ペイロードを解析し、アプリケーション サーバーへのトラフィックを許可または拒否するかどうかを決定できます。ALGは、FTP(Transfer Protocol)や、アプリケーションがデータ接続を開く動的な伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)ポートを通信するためにアプリケーション層ペイロードを使用するさまざまなIPプロトコルなどのアプリケーションをサポートしています。詳細については、以下のトピックを参照してください。
テナント システムの ALG サポートについて
ALG(アプリケーションレイヤーゲートウェイ)を使用すると、ゲートウェイはアプリケーション層のペイロードを解析し、アプリケーションサーバーへのトラフィックを許可または拒否するかどうかを決定できます。
Junos OS リリース 18.3R1 以降、論理システムでサポートされる ALG 機能がテナント システムで拡張されるようになりました。
テナント システム管理者は、テナント システムの ALG 機能を設定できます。プライマリ管理者は、ALG 機能を設定し、すべてのテナントの ALG 情報を表示できます。テナントシステム管理者は、設定を適用し、そのテナント内の情報のみを表示できます。
各テナント システムは、トラフィックを監視する ALG カウンターを表示します。たとえば、コマンドを使用して show security alg sip counters tenants TN1 テナント システムで SIP カウンターを取得し、 show security alg sip counters tenants all 既存のすべてのテナント システムで SIP カウンターを取得します。
テナントのセキュリティ ログを有効にすると、テナントごとに ALG ログが生成されます。
Junos OS リリース 18.3R1 にアップグレードすると、Junos OS リリース 18.3R1 以前のリリースのデフォルト設定や設定によって、各テナント システムの ALG ステータスが異なる場合があります。最新の Junos OS バージョンにアップグレードした後、要件に従ってテナント システムの ALG 設定を変更することをお勧めします。
テナント システムの ALG の有効化と無効化
このトピックでは、各テナント システムの ALG ステータスを有効または無効にする方法を示します。
例:テナント システムでの ALG の設定
この例では、テナント システムに ALG を設定し、テナント システムの FTP ALG 設定に基づいてトラフィックを個別に送信する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX デバイス
Junos OS リリース 18.3R1
開始する前に、以下を行います。
ALG テナント システムのサポートを読み、この手順が ALG の全体的なテナント サポートにどのように適合し、どの場所に適合するかを理解します。
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、FTP の ALG は、テナント システム上のクライアントとサーバー間で FTP トラフィックの交換を監視し、許可するように設定されています。
デフォルトでは、テナント システムでは FTP ALG が有効になっています。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set tenants TN1 routing-instances VR_TN1 instance-type vpls set tenants TN1 routing-instances VR_TN1 interface lt-0/0/0.0 set system security-profile p1 tenant TN1 set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic system-services all set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic protocols all set tenants TN1 security zones security-zone TN1_Czone interfaces ge-0/0/0 set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic system-services all set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic protocols all set tenants TN1 security zones security-zone TN1_Szone interfaces ge-0/0/1 set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match source-address any set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match destination-address any set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ftp set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ping set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 then permit set tenants TN1 security policies default-policy deny-all
テナント システムでの FTP ALG の設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
テナント システムで ALG を設定するには、次の手順に示します。
テナントのセキュリティプロファイルp1を設定します。
[edit] set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50
インターフェイスとルーティング インスタンスを TN1 に設定します。
[edit] user@host# set tenants TN1 routing-instances VR_TN1 instance-type vpls user@host# set tenants TN1 routing-instances VR_TN1 interface lt-0/0/0.0
セキュリティプロファイルp1を設定し、テナントシステムTN1に割り当てます。
[edit] user@host# set system security-profile p1 tenant TN1
セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。
[edit] user@host# set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic system-services all user@host# set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic protocols all user@host# set tenants TN1 security zones security-zone TN1_Czone interfaces ge-0/0/0 user@host# set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic system-services all user@host# set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic protocols all user@host# set tenants TN1 security zones security-zone TN1_Szone interfaces ge-0/0/1
TN1_Czoneからゾーン間のTN1_Szoneからの FTP トラフィックを許可するセキュリティ ポリシーを設定します。
[edit] user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match source-address any user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match destination-address any user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ftp user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ping user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 then permit user@host# set tenants TN1 security policies default-policy deny-all
結果
設定モードから、 コマンドを入力して設定を show tenants TN1 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show tenants TN1
routing-instances {
VR_TN1 {
instance-type vpls;
interface lt-0/0/0.0;
}
}
security {
policies {
from-zone TN1_Czone to-zone TN1_Szone {
policy p11 {
match {
source-address any;
destination-address any;
application [ junos-ftp junos-ping ];
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone TN1_Czone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone TN1_Szone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ALG 上のテナント内システム トラフィックの検証
目的
リソース・マネージャーによって作成されたアクティブ・リソース、クライアント、グループ、およびセッションに関する情報を検証します。
アクション
動作モードから、 コマンドを show security resource-manager summary 入力します。
user@host> show security resource-manager summary Active resource-manager clients : 0 Active resource-manager groups : 0 Active resource-manager resources : 0 Active resource-manager sessions : 0
意味
出力には、リソース・マネージャーによって作成されたアクティブ・リソース、クライアント、グループ、およびセッションに関する要約情報が表示されます。
テナント システムの ALG ステータスの確認
目的
デバイス上のテナントの ALG ステータスを確認します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show security alg status tenant TN1 入力します。
user@host>show security alg status tenant TN1 ALG Status: DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
意味
出力には、テナント システム TN1 の FTP Enabled の alg ステータスが表示されます。