Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

カスタムポリシーアプリケーション

カスタム ポリシー アプリケーションは、定義済みのポリシー アプリケーションの代替機能です。ポリシーで定義済みのポリシー アプリケーションを使用しない場合は、カスタム アプリケーションを作成できます。Junos OSでは、ポリシーに合わせてカスタムアプリケーションを設定できます。

カスタムポリシーの適用について

ポリシーで事前定義されたアプリケーションを使用しない場合は、カスタムアプリケーションを簡単に作成できます。

各カスタム アプリケーションに次の属性を割り当てることができます。

  • 名前

  • トランスポートプロトコル

  • TCPまたはUDPを使用するアプリケーションの送信元ポート番号と宛先ポート番号

  • ICMP を使用するアプリケーションのタイプとコード値

  • タイムアウト値

カスタム アプリケーション マッピング

アプリケーション オプションは、ポリシーで参照するレイヤー 4 アプリケーションにマッピングされるレイヤー 7 アプリケーションを指定します。定義済みアプリケーションには、すでにレイヤー 7 アプリケーションへのマッピングがあります。ただし、カスタムアプリケーションの場合、特にポリシーでアプリケーション層ゲートウェイ(ALG)またはディープインスペクションをカスタムアプリケーションに適用する場合は、アプリケーションをポリシーに明示的にリンクする必要があります。

メモ:

Junos OSは、DNS、FTP、H.323、HTTP、RSH、SIP、Telnet、TFTPなど、さまざまなアプリケーションでALGをサポートしています。

ALG をカスタム アプリケーションに適用するには、次の 2 つの手順を実行します。

  • 名前、タイムアウト値、トランスポートプロトコル、送信元ポートと宛先ポートを使用してカスタムアプリケーションを定義します。

  • ポリシーを構成するときは、そのアプリケーションと、適用する ALG のアプリケーションの種類を参照します。

例:カスタム ポリシー アプリケーションの追加および変更

この例では、カスタム ポリシー アプリケーションを追加および変更する方法を示します。

要件

開始する前に、アドレスとセキュリティ ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。

概要

この例では、次の情報を使用してカスタム アプリケーションを作成します。

  • アプリケーションの名前: cust-telnet

  • 送信元ポート番号の範囲:1から。65535

  • 宛先ポート番号: 23000。

  • アプリケーションで使用されるプロトコル: TCP。

カスタム アプリケーションが cust-telnet 作成されると、次の情報が変更されます。

  • アプリケーションで使用されるプロトコルは、TCPに変更されます。

  • 送信元ポート番号の範囲:1から。51100

  • 宛先ポート番号: 11000。

構成

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

カスタムポリシーアプリケーションを追加および変更するには:

  1. TCPを設定し、送信元ポートと宛先ポートを指定します。

  2. アプリケーションが非活動状態である時間の長さを指定してください。

  3. カスタムポリシーアプリケーション cust-telnet を変更します。

    • TCP用に構成された送信元ポートと宛先ポートを削除します。

    • UDP を設定し、送信元ポートと宛先ポートを指定します。

    • UDPが非アクティブである時間の長さを指定します。

  4. デバイスの設定が完了したら、設定をコミットします。

検証

変更されたカスタムポリシーアプリケーションの検証

目的

カスタム ポリシー アプリケーションが正常に変更されたかどうかを確認するには。

アクション

動作モードから、 コマンドを入力して show applications application cust-telnet 、カスタム ポリシー アプリケーション - cust-telnetの詳細を表示します。

メモ:

タイムアウト値は秒単位です。設定しない場合、カスタム アプリケーションのタイムアウト値は 1800 秒です。アプリケーションをタイムアウトさせたくない場合は、「」と入力します never

意味

出力には、 cust-telnet アプリケーションに関する情報が表示されます。次の情報を確認します。

  • 構成されたポリシー名。

  • 送信元ポートと宛先ポート

  • アプリケーションが非アクティブである時間の長さ(秒)。

例:カスタム ポリシー適用条件オプションの設定

この例では、アプリケーション プロトコルのアプリケーション プロパティと用語オプションを設定する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズのファイアウォール

  • パソコン

始める前に:

概要

この例では、アプリケーション名、アプリ名、およびカスタム オプションと呼ばれる用語を作成して、カスタム ポリシー アプリケーションの用語オプションを定義します。

アプリケーション レイヤー ゲートウェイ (ALG) の種類としてドメイン ネーム サービス (DNS) を構成し、ネットワーク プロトコルの種類として UDP を構成します。送信元ポートを 24000 に設定し、宛先ポートを 23000 に設定します。次に、インターネット制御メッセージ プロトコル (ICMP) パケットの種類の値を 5 に設定し、ICMP コード値を 0 に設定します。リモート プロシージャ コール (RPC) プログラム番号の値を 50 に設定し、ユニバーサル一意識別子 (UUID) 値を 1be617c0-31a5-11cf-a7d8-00805f48a135 に設定します。最後に、非アクティブ・タイムアウト値を 60 に設定します。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

カスタムポリシー適用条件オプションを設定するには:

  1. 条件名を設定します。

  2. ALG タイプを設定します。

  3. ネットワーク プロトコル タイプを設定します。

  4. 送信元ポート番号を構成します。

  5. TCP または UDP の宛先ポート番号を構成します。

  6. 非活動タイムアウト値を指定します。

結果

設定モードから、 コマンドを入力して show applications 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定の確認

目的

構成が正しいことを確認します。

アクション

動作モードから コマンド show applications を入力します。