カスタムポリシーアプリケーション
カスタム ポリシー アプリケーションは、定義済みのポリシー アプリケーションの代替機能です。ポリシーで定義済みのポリシー アプリケーションを使用しない場合は、カスタム アプリケーションを作成できます。Junos OSでは、ポリシーに合わせてカスタムアプリケーションを設定できます。
カスタムポリシーの適用について
ポリシーで事前定義されたアプリケーションを使用しない場合は、カスタムアプリケーションを簡単に作成できます。
各カスタム アプリケーションに次の属性を割り当てることができます。
名前
トランスポートプロトコル
TCPまたはUDPを使用するアプリケーションの送信元ポート番号と宛先ポート番号
ICMP を使用するアプリケーションのタイプとコード値
タイムアウト値
カスタム アプリケーション マッピング
アプリケーション オプションは、ポリシーで参照するレイヤー 4 アプリケーションにマッピングされるレイヤー 7 アプリケーションを指定します。定義済みアプリケーションには、すでにレイヤー 7 アプリケーションへのマッピングがあります。ただし、カスタムアプリケーションの場合、特にポリシーでアプリケーション層ゲートウェイ(ALG)またはディープインスペクションをカスタムアプリケーションに適用する場合は、アプリケーションをポリシーに明示的にリンクする必要があります。
Junos OSは、DNS、FTP、H.323、HTTP、RSH、SIP、Telnet、TFTPなど、さまざまなアプリケーションでALGをサポートしています。
ALG をカスタム アプリケーションに適用するには、次の 2 つの手順を実行します。
名前、タイムアウト値、トランスポートプロトコル、送信元ポートと宛先ポートを使用してカスタムアプリケーションを定義します。
ポリシーを構成するときは、そのアプリケーションと、適用する ALG のアプリケーションの種類を参照します。
例:カスタム ポリシー アプリケーションの追加および変更
この例では、カスタム ポリシー アプリケーションを追加および変更する方法を示します。
要件
開始する前に、アドレスとセキュリティ ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
概要
この例では、次の情報を使用してカスタム アプリケーションを作成します。
アプリケーションの名前:
cust-telnet
送信元ポート番号の範囲:
1
から。65535
宛先ポート番号: 23000。
アプリケーションで使用されるプロトコル: TCP。
カスタム アプリケーションが cust-telnet
作成されると、次の情報が変更されます。
アプリケーションで使用されるプロトコルは、TCPに変更されます。
送信元ポート番号の範囲:
1
から。51100
宛先ポート番号: 11000。
構成
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
カスタムポリシーアプリケーションを追加および変更するには:
TCPを設定し、送信元ポートと宛先ポートを指定します。
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
アプリケーションが非活動状態である時間の長さを指定してください。
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
カスタムポリシーアプリケーション
cust-telnet
を変更します。TCP用に構成された送信元ポートと宛先ポートを削除します。
UDP を設定し、送信元ポートと宛先ポートを指定します。
UDPが非アクティブである時間の長さを指定します。
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
変更されたカスタムポリシーアプリケーションの検証
目的
カスタム ポリシー アプリケーションが正常に変更されたかどうかを確認するには。
アクション
動作モードから、 コマンドを入力して show applications application cust-telnet
、カスタム ポリシー アプリケーション - cust-telnet
の詳細を表示します。
user@host>
show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;
タイムアウト値は秒単位です。設定しない場合、カスタム アプリケーションのタイムアウト値は 1800 秒です。アプリケーションをタイムアウトさせたくない場合は、「」と入力します never
。
意味
出力には、 cust-telnet アプリケーションに関する情報が表示されます。次の情報を確認します。
構成されたポリシー名。
送信元ポートと宛先ポート
アプリケーションが非アクティブである時間の長さ(秒)。
例:カスタム ポリシー適用条件オプションの設定
この例では、アプリケーション プロトコルのアプリケーション プロパティと用語オプションを設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズのファイアウォール
パソコン
始める前に:
必要なアプリケーションを構成します。 例:カスタムポリシーアプリケーションの追加および変更 を参照してください。
概要
この例では、アプリケーション名、アプリ名、およびカスタム オプションと呼ばれる用語を作成して、カスタム ポリシー アプリケーションの用語オプションを定義します。
アプリケーション レイヤー ゲートウェイ (ALG) の種類としてドメイン ネーム サービス (DNS) を構成し、ネットワーク プロトコルの種類として UDP を構成します。送信元ポートを 24000 に設定し、宛先ポートを 23000 に設定します。次に、インターネット制御メッセージ プロトコル (ICMP) パケットの種類の値を 5 に設定し、ICMP コード値を 0 に設定します。リモート プロシージャ コール (RPC) プログラム番号の値を 50 に設定し、ユニバーサル一意識別子 (UUID) 値を 1be617c0-31a5-11cf-a7d8-00805f48a135 に設定します。最後に、非アクティブ・タイムアウト値を 60 に設定します。
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
手順
カスタムポリシー適用条件オプションを設定するには:
条件名を設定します。
[edit applications] user@host# set application app-name term custom-options
ALG タイプを設定します。
[edit applications] user@host# set application app-name term custom-options alg dns
ネットワーク プロトコル タイプを設定します。
[edit applications] user@host# set application app-name term custom-options protocol udp
送信元ポート番号を構成します。
[edit applications] user@host#set application app-name term custom-options source-port 24000
TCP または UDP の宛先ポート番号を構成します。
[edit applications] user@host# set application app-name term custom-options destination-port 23000
非活動タイムアウト値を指定します。
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
結果
設定モードから、 コマンドを入力して show applications
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show applications application app-name { term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60; }
デバイスの設定が完了したら、設定モードから を入力します commit
。