テナントシステム向けALG
テナントシステムのアプリケーション層ゲートウェイ(ALG)により、ゲートウェイはアプリケーション層のペイロードを解析し、アプリケーションサーバーへのトラフィックを許可または拒否するかどうかを決定できます。ALGは、アプリケーション層ペイロードを使用して、アプリケーションがデータ接続を開く動的伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)ポートを通信する転送プロトコル(FTP)やさまざまなIPプロトコルなどのアプリケーションをサポートします。詳細については、次のトピックを参照してください。
テナントシステムに対するALGサポートについて
アプリケーション層ゲートウェイ(ALG)により、ゲートウェイはアプリケーション層のペイロードを解析し、アプリケーションサーバーへのトラフィックを許可または拒否するかどうかを決定できます。
Junos OSリリース18.3R1以降、論理システムでサポートされているALG機能がテナントシステムに拡張されるようになりました。
テナントシステム管理者は、テナントシステムのALG機能を設定できます。プライマリ管理者は、ALG機能を設定し、すべてのテナントのALG情報を表示できます。テナントシステム管理者は、自分のテナント内でのみ設定を適用し、情報を表示することができます。
各テナントシステムには、トラフィックを監視するためのALGカウンターが表示されます。例えば、コマンド show security alg sip counters tenants TN1 を使用してテナントシステムでSIPカウンターを取得し、 show security alg sip counters tenants all を使用して既存のすべてのテナントシステムでSIPカウンターを取得します。
テナントのセキュリティログを有効にすると、テナントごとのALGログが生成されます。
Junos OSリリース18.3R1にアップグレードすると、デフォルト設定またはJunos OSリリース18.3R1より前のリリースの設定によって、各テナントシステムのALGステータスが異なる場合があります。最新のJunos OSバージョンにアップグレードした後、要件に従ってテナントシステムのALG設定を変更することをお勧めします。
テナントシステムのALGの有効化および無効化
このトピックでは、各テナントシステムのALGステータスを有効または無効にする方法について説明します。
例:テナントシステムでのALGの設定
この例では、テナントシステムにALGを設定し、テナントシステムのFTP ALG設定に基づいて個別にトラフィックを送信する方法を示します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
SRXデバイス
Junos OSリリース18.3R1
始める前に:
テナントシステム向けALGサポートを読み、この手順がALGのテナントサポート全体の中でどのように、どこに当てはまるかを理解してください。
この機能を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
概要
この例では、FTP向けALGが、テナントシステム上のクライアントとサーバー間でFTPトラフィックの交換を監視し、許可するように設定されています。
デフォルトでは、FTP ALGはテナントシステムで有効になっています。
設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50 set tenants TN1 routing-instances VR_TN1 instance-type vpls set tenants TN1 routing-instances VR_TN1 interface lt-0/0/0.0 set system security-profile p1 tenant TN1 set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic system-services all set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic protocols all set tenants TN1 security zones security-zone TN1_Czone interfaces ge-0/0/0 set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic system-services all set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic protocols all set tenants TN1 security zones security-zone TN1_Szone interfaces ge-0/0/1 set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match source-address any set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match destination-address any set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ftp set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ping set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 then permit set tenants TN1 security policies default-policy deny-all
テナントシステムでのFTP ALGの設定
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
テナントシステムでALGを設定するには、以下を行います。
テナントのセキュリティプロファイルp1を設定します。
[edit] set system security-profile p1 policy maximum 100 set system security-profile p1 policy reserved 50 set system security-profile p1 zone maximum 100 set system security-profile p1 zone reserved 50 set system security-profile p1 flow-session maximum 6291456 set system security-profile p1 flow-session reserved 50 set system security-profile p1 flow-gate maximum 524288 set system security-profile p1 flow-gate reserved 50
TN1へのインターフェイスとルーティングインスタンスを設定します。
[edit] user@host# set tenants TN1 routing-instances VR_TN1 instance-type vpls user@host# set tenants TN1 routing-instances VR_TN1 interface lt-0/0/0.0
セキュリティプロファイルp1を設定し、テナントシステムTN1に割り当てます。
[edit] user@host# set system security-profile p1 tenant TN1
セキュリティゾーンを設定し、各ゾーンにインターフェイスを割り当てます。
[edit] user@host# set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic system-services all user@host# set tenants TN1 security zones security-zone TN1_Czone host-inbound-traffic protocols all user@host# set tenants TN1 security zones security-zone TN1_Czone interfaces ge-0/0/0 user@host# set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic system-services all user@host# set tenants TN1 security zones security-zone TN1_Szone host-inbound-traffic protocols all user@host# set tenants TN1 security zones security-zone TN1_Szone interfaces ge-0/0/1
TN1_CzoneツーゾーンTN1_SzoneからのFTPトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match source-address any user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match destination-address any user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ftp user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 match application junos-ping user@host# set tenants TN1 security policies from-zone TN1_Czone to-zone TN1_Szone policy p11 then permit user@host# set tenants TN1 security policies default-policy deny-all
結果
設定モードから、 show tenants TN1 コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show tenants TN1
routing-instances {
VR_TN1 {
instance-type vpls;
interface lt-0/0/0.0;
}
}
security {
policies {
from-zone TN1_Czone to-zone TN1_Szone {
policy p11 {
match {
source-address any;
destination-address any;
application [ junos-ftp junos-ping ];
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone TN1_Czone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone TN1_Szone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
ALGでのテナント内システムトラフィックの検証
目的
リソースマネージャーを通じて作成されたアクティブなリソース、クライアント、グループ、およびセッションに関する情報を確認します。
アクション
動作モードから、 show security resource-manager summary コマンドを入力します。
user@host> show security resource-manager summary Active resource-manager clients : 0 Active resource-manager groups : 0 Active resource-manager resources : 0 Active resource-manager sessions : 0
意味
出力には、リソースマネージャーを通じて作成されたアクティブなリソース、クライアント、グループ、およびセッションに関する概要情報が表示されます。
テナントシステムのALGステータスの確認
目的
デバイス上のテナントのALGステータスを確認します。
アクション
設定が正常に機能していることを確認するには、 show security alg status tenant TN1 コマンドを入力します。
user@host>show security alg status tenant TN1 ALG Status: DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
意味
出力には、テナントシステムTN1のFTP有効のalgステータスが表示されます。