事前定義ポリシー適用

アメリカのオンラインインターネットサービスプロバイダー(ISP)は、インターネット、チャット、およびインスタントメッセージングアプリケーションを提供しています。

動的ホスト構成プロトコル。

動的ホスト構成プロトコルは、ネットワーク・アドレスを割り振り、構成パラメーターをサーバーからホストに提供します。

ドメインネームシステムは、ドメイン名をIPアドレスに変換します。

ファイル転送プロトコル(FTP)を使用すると、マシン間でファイルを送受信できます。ANY を拒否または許可するか、選択的に許可または拒否するかを選択できます。

信頼できないソース(インターネット)からのFTPアプリケーションを拒否することをお勧めします。

Gopherは、インターネットサーバーのコンテンツを階層的に構造化されたファイルのリストとして整理および表示します。

ネットワーク構造が公開されないように、Gopher アクセスを拒否することをお勧めします。

ハイパーテキスト転送プロトコルは、ワールドワイドウェブ(WWW)で使用される基盤となるプロトコルです。

HTTP アプリケーションを拒否すると、ユーザーはインターネットを表示できなくなります。

HTTP アプリケーションを許可すると、信頼できるホストがインターネットを表示できるようになります。

拡張された非標準ポートを使用したハイパーテキスト転送プロトコル

セキュアソケットレイヤーを使用したハイパーテキスト転送プロトコル(SSL)は、インターネットを介してプライベートドキュメントを送信するためのプロトコルです。

HTTPSを拒否すると、ユーザーはインターネットで買い物をしたり、安全なパスワード交換を必要とする特定のオンラインリソースにアクセスできなくなります。

HTTPSを許可すると、信頼できるホストがパスワード交換に参加したり、オンラインで買い物をしたり、ユーザーログインを必要とするさまざまな保護されたオンラインリソースにアクセスしたりできるようになります。

Internet Locator Serviceには、LDAP、User Locator Service、およびLDAPover TSL/SSLが含まれます。

インターネット リレー チャット (IRC) を使用すると、インターネットに接続しているユーザーがライブ ディスカッションに参加できます。

ライトウェイト ディレクトリ アクセス プロトコルは、情報ディレクトリへのアクセスに使用されるプロトコルのセットです。

PC-Anywhereは、リモートコントロールおよびファイル転送ソフトウェアです。

トリビアルファイル転送プロトコル(TFTP)は、単純なファイル転送のためのプロトコルです。

広域情報サーバは、インターネット上の文書を検索するプログラムです。

Microsoft リモート プロシージャ コール (RPC) エンドポイント マッパー (EPM) プロトコル。

マイクロソフトのリモート プロシージャ コール (RPC) アプリケーション。

Microsoft Exchange アプリケーション グループには、次のものが含まれます。

• Junos-MS-RPC-MSEXCHANGE-DATABASE

• Junos-MS-RPC-MSEXCHANGE-DIRECTORY

• Junos-MS-RPC-MSEXCHANGE-INFO-STORE

Microsoft Exchange データベース アプリケーション。

Microsoft Exchange Directory アプリケーション。

Microsoft Exchange インフォメーション ストア アプリケーション。

マイクロソフト伝送制御プロトコル (TCP) アプリケーション。

マイクロソフト ユーザー データグラム プロトコル (UDP) アプリケーション。

Microsoft 構造化照会言語 (SQL)。

マイクロソフトネットワークメッセンジャーアプリケーション。

RIPは、一般的な距離ベクトルルーティングプロトコルです。

OSPFは、一般的なリンクステート型ルーティングプロトコルです。

BGPは、外部/ドメイン間ルーティングプロトコルです。

H.323は、国際電気通信連合(ITU)によって承認された標準であり、視聴覚会議データがネットワーク間で送信される方法を定義します。

Microsoft NetMeeting は、TCP を使用して、インターネット経由で電話会議 (ビデオおよびオーディオ) アプリケーションを提供します。

リアルメディアは、ビデオとオーディオのストリーミングテクノロジーです。

リアルタイム ストリーミング プロトコル (RTSP) は、ストリーミング メディア アプリケーション用です

セッション開始プロトコル(SIP)は、セッションを作成、変更、および終了するためのアプリケーション層の制御プロトコルです。

VDOLiveは、スケーラブルなビデオストリーミングテクノロジーです。

Sun RPC ポートマッパー プロトコル

Sun RPC アプリケーション

Sun RPC マウントデーモン

Sun RPC ネットワークファイルシステム

Sun RPC ネットワークロックマネージャ

Sun RPC リモートクォータデーモン

Sun RPC リモートステータスデーモン

Sun RPC リモートユーザデーモン

Sun RPC システム管理デーモン

Sun RPC スプレーデーモン

Sun RPC ステータス

Sun RPC Wall Daemon

SUN RPC イエロー ページ バインド アプリケーション

インターネット鍵交換は、IPsecプロトコルスイートでセキュリティアソシエーションを設定するプロトコルです。

インターネット キー プロトコル (IKE) は、ISAKMP で使用する認証済みのキー情報を取得するためのプロトコルです。

IKE-Network Address Translation(NAT)は、S2C IKEトラフィックに対してレイヤー3 NATを実行します。

L2TP は、リモート アクセス用に PPTP とレイヤー 2 転送(L2F)を組み合わせたものです。

ポイントツーポイントトンネリングプロトコルを使用すると、企業はパブリックインターネット上のプライベート トンネル を介して独自のプライベートネットワークを拡張できます。

あらゆるアプリケーション

TCPを使用するすべてのプロトコル

UDPを使用するすべてのプロトコル

Gnutellaは、分散ネットワーク上で動作するパブリックドメインのファイル共有プロトコルです。任意のポートを割り当てることができますが、デフォルトは 6346 です。

Microsoftネットワークメッセンジャーは、インスタントメッセージを送信してオンラインで話すことができるユーティリティです。

ネットワークニューストランスポートプロトコルは、USENETメッセージの投稿、配布、および取得に使用されるプロトコルです。

IP 経由のサーバー メッセージ ブロック (SMB) は、ネットワーク上のサーバーに対してファイルの読み取りと書き込みを可能にするプロトコルです。

Yahoo!メッセンジャーは、他の人がオンラインになっていることを確認したり、インスタントメッセージを送信したり、オンラインで話したりできるユーティリティです。

NetBIOS 名 アプリケーションは、UDP ポート 137 で送信されたすべての NetBIOS 名パケットを表示します。

IBM によって公開された NetBIOS データグラム・アプリケーションは、ブロードキャスト・メディアに接続された PC にコネクションレス (データグラム) アプリケーションを提供し、リソースの検索、セッションの開始、およびセッションの終了を行います。信頼性が低く、パケットが順序付けられていません。

ネットワークファイルシステムはUDPを使用して、ネットワークユーザーがさまざまな種類のコンピューターに保存されている共有ファイルにアクセスできるようにします。SUN RPC は NFS の構成要素です。

NS-Globalは、ジュニパーネットワークスのファイアウォール/VPNデバイスの一元管理プロトコルです。

NS Global-PROは、ジュニパーネットワークスのファイアウォール/VPNデバイスファミリー向けの拡張性の高い監視システムです。

ネットワークおよびセキュリティマネージャー

ネットワーク タイム プロトコルは、コンピューターが時間参照に同期する方法を提供します。

RLOGIN は、リモート・ホストで端末セッションを開始します。

RSH はリモートホストでシェルコマンドを実行します。

簡易ネットワーク管理プロトコルは、複雑なネットワークを管理するためのプロトコルのセットです。

SQL*Net バージョン 1 は、データの作成、アクセス、変更、および保護を可能にするデータベース言語です。

SQL*Net バージョン 2 は、データの作成、アクセス、変更、および保護を可能にするデータベース言語です。

Microsoft SQLは、データの作成、アクセス、変更、および保護を可能にする独自のデータベースサーバーツールです。

SSHは、安全でないチャネルでの強力な認証と安全な通信を通じて、ネットワークを介して別のコンピューターにログインするプログラムです。

Syslog は、システム・ロガーにメッセージを送信する UNIX プログラムです。

Talkは、自分の端末から別のユーザーの端末に回線をコピーするビジュアルコミュニケーションプログラムです。

Telnet は、端末装置と端末指向プロセスを相互にインターフェースする標準的な方法を提供する UNIX プログラムです。

WinFrame は、Windows 以外のマシン上のユーザーが Windows アプリケーションを実行できるようにするテクノロジです。

X-Windowsは、MotifとOpenLookがベースとしているウィンドウおよびグラフィックスシステムです。

インターネット メッセージ アクセス プロトコルは、メッセージの取得に使用されます。

簡易メール転送プロトコルは、サーバー間でメッセージを送信するために使用されます。

ポストオフィスプロトコルは、電子メールの取得に使用されます。

fingerは、ユーザーに関する情報を提供するUNIXプログラムです。

UNIX間コピープロトコル(UUCP)は、直接シリアルまたはモデム接続を介して2台のコンピューター間でファイル転送を可能にするUNIXユーティリティです。

文字発生プロトコルは、UDPまたはTCPベースのデバッグおよび測定ツールです。

破棄プロトコルは、ポート 9 に送信された TCP または UDP データを破棄するプロセスを記述するアプリケーション層プロトコルです。

識別プロトコルは、TCP クライアント認証に使用される TCP/IP アプリケーション層プロトコルです。

ラインプリンタデーモンプロトコルは、印刷アプリケーションに使用されるTCPベースのプロトコルです。

リモート認証ダイヤルインユーザーサービスアプリケーションは、認証とアカウンティングの目的で使用されるサーバープログラムです。

RADIUSアカウンティングサーバーは、LANにログインまたはログアウトするユーザーの統計データを受信します。

SQL モニター (マイクロソフト)

仮想ネットワークコンピューティングは、インターネットに接続された別のコンピューターまたはモバイルジュニパーネットワークスデバイスの表示と操作を容易にします。

ネットワーク ディレクトリ アプリケーション プロトコルは、ドメイン名を検索する方法です。

Cisco ステーション呼制御プロトコル(SCCP)は、シグナリング接続制御ポートを使用して、高可用性とフロー制御を提供します。

ICMP-ANY は、ICMP を使用するすべてのプロトコルに影響します。

ICMP-ANYを拒否すると、ICMPを使用したネットワークのpingや監視の試みが損なわれます。

ICMP-ANY を許可すると、すべての ICMP メッセージが許可されます。

ICMPアドレスマスククエリは、ブートストラップサーバーからローカルサブネットマスクを必要とするシステムに使用されます。

ICMP アドレスマスク要求メッセージを拒否すると、ディスクレスシステムに悪影響を与える可能性があります。

ICMP アドレス マスク要求メッセージを許可すると、他のユーザーがネットワーク内のホストのオペレーティング システムをフィンガープリントできる場合があります。

ICMP 宛先到達不能エラー メッセージは、宛先ホストがパケットを拒否するように設定されていることを示します。

コード 0、1、4、または 5 は、ゲートウェイからのものです。コード 2 または 3 は、ホスト (RFC 792) からのものです。

ICMP宛先到達不能エラーメッセージを拒否することで、ホストがSRXシリーズファイアウォールの背後で稼働しているという仮定を取り除くことができます。

ICMP 宛先到達不能エラー メッセージを許可すると、セキュリティ フィルタリングなど、ネットワークに関するいくつかの仮定が可能になります。

ICMP フラグメンテーション エラー メッセージは、フラグ化が必要であるが、Don't Fragment フラグが設定されていることを示します。

インターネットから内部ネットワークへのこれらのメッセージを拒否することをお勧めします。

ICMP フラグメント再構築時間超過エラーは、フラグメント化されたメッセージを再アセンブルしているホストが時間を使い果たし、パケットをドロップしたことを示します。このメッセージは時々送信されます。

インターネット (外部) から信頼済み (内部) ネットワークへのこれらのメッセージを拒否することをお勧めします。

ICMP host 到達不能エラー メッセージは、ルーティング テーブルのエントリーが特定のホストを無限にリストしていない、またはリストしていないことを示します。このエラーは、フラグメント化を必要とするパケットの受信時にフラグメント化できないゲートウェイによって送信されることがあります。

インターネットから信頼できるネットワークへのこれらのメッセージを拒否することをお勧めします。

これらのメッセージを許可すると、他のユーザーが削除プロセスによって内部ホストの IP アドレスを特定したり、ゲートウェイと断片化について仮定したりできるようになります。

ICMP-INFO クエリーメッセージにより、ディスクレスホストシステムはネットワークをクエリーし、自己設定できます。

ICMP アドレスマスク要求メッセージを拒否すると、ディスクレスシステムに悪影響を与える可能性があります。

ICMP アドレス マスク要求メッセージを許可すると、他のユーザーがネットワーク セグメントに情報クエリをブロードキャストして、コンピューターの種類を判断できるようになる可能性があります。

ICMPパラメータ問題のエラーメッセージは、誤ったヘッダーパラメータが存在し、パケットが破棄される原因となった場合に通知します

インターネットから信頼できるネットワークへのこれらのメッセージを拒否することをお勧めします。

ICMP パラメータ問題のエラー メッセージを許可すると、他のユーザーがネットワークについて推測できるようになります。

ICMP ポート到達不能エラーメッセージは、特定のポートを要求するデータグラムを処理するゲートウェイがネットワークで使用できないか、サポートされていないことを示します。

インターネットから信頼できるネットワークへのこれらのメッセージを拒否することをお勧めします。

ICMP ポート到達不能エラー メッセージを許可すると、特定のプロトコルに使用しているポートを他のユーザーが判断できるようになります。

ICMP プロトコル到達不能エラーメッセージは、特定のプロトコルを要求するデータグラムを処理するゲートウェイがネットワークで使用できないか、サポートされていないことを示します。

インターネットから信頼できるネットワークへのこれらのメッセージを拒否することをお勧めします。

ICMP プロトコル到達不能エラー メッセージを許可すると、ネットワークが実行されているプロトコルを他のユーザーが判断できるようになります。

ICMPリダイレクトネットワークエラーメッセージは、SRXシリーズファイアウォールによって送信されます。

インターネットから信頼できるネットワークへのこれらのメッセージを拒否することをお勧めします。

ICMPリダイレクトメッセージは、指定されたホスト宛てのデータグラムが別のパスに沿って送信されることを示します。

ICMPリダイレクトタイプのサービス(TOS)とホストエラーは、メッセージの一種です。

ICMPリダイレクトTOSとネットワークエラーはメッセージの一種です。

ICMP ソース クエンチ エラー メッセージは、デバイスに、パケットの受け入れ、キューイング、ネクスト ホップへの送信に使用できるバッファー スペースがないことを示します。

これらのメッセージを拒否しても、内部ネットワークのパフォーマンスが向上したり損なわれたりすることはありません。

これらのメッセージを許可すると、デバイスが輻輳していることを他のユーザーに知られ、実行可能な攻撃ターゲットになります。

ICMP 送信元ルート失敗エラー メッセージ

これらのインターネットからのメッセージを拒否することをお勧めします (外部)。

ICMP TTL(Time-to-live)超過エラー メッセージは、パケットが宛先に到達する前にパケットの TTL 設定がゼロに達したことを示します。これにより、再送信されたパケットが処理される前に古いパケットが破棄されます。

信頼できるネットワークからインターネットへのこれらのメッセージを拒否することをお勧めします。

ICMP-TIMESTAMPクエリーメッセージは、大規模で多様なネットワークにおいて、時間を同期させ、時間分布を調整するメカニズムを提供します。

Pingは、特定のホストがそのIPアドレスでアクセス可能かどうかを判断するユーティリティです。

ping機能を拒否すると、ホストがアクティブかどうかを確認できなくなります。

pingを許可すると、他のユーザーがサービス拒否(DoS)またはスマーフ攻撃を実行できるようになります。

ICMP フラグメント エコー再アセンブリ時間期限切れエラー メッセージは、再アセンブリ時間を超過したことを示します。

これらのメッセージは拒否することをお勧めします。

tracerouteは、特定のホストにアクセスするためのパスを示すユーティリティです。

インターネット(外部)から信頼できるネットワーク(内部)へのこのユーティリティを拒否することをお勧めします。