Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ALG ページについて

お客様のいるいる: セキュリティサービス > ALG

このページを使用して、ALG(アプリケーション層ゲートウェイ)を設定します。

フィールドの説明

表 1 では、ALG ページのフィールドについて説明します。

設定が完了したら、[OK] クリックして変更を保存するか、[ リセット ]をクリックして変更を元に戻します。

表 1:ALG ページのフィールド

フィールド

説明

メイン

PPTP を有効にする

ALG のポイントツーポイント トンネリング プロトコル(PPTP)を有効にする場合は、このチェック ボックスをオンにします。

PPTP は、TCP/IP ネットワーク上で PPP データをトンネリングするレイヤー 2 プロトコルです。PPTPクライアントは、Windowsシステムで自由に利用でき、VPNを構築するために広く展開されています。

RSH を有効にする

ALG の RSH を有効にする場合は、このチェック ボックスをオンにします。

RSH ALG は、ポート 514 宛ての TCP パケットを処理し、RSH ポート コマンドを処理します。RSH ALG は port コマンドのポートで NAT を実行し、必要に応じてゲートを開きます。

RTSP を有効にする

ALG の RTSP(リアルタイム ストリーミング プロトコル)を有効にする場合は、このチェック ボックスをオンにします。

SQL を有効にする

ALG の構造化クエリ言語(SQL)を有効にする場合は、このチェック ボックスをオンにします。

SQLNET ALG は、サーバー側からの SQL TNS 応答フレームを処理します。パケットを解析し、(HOST=ipaddress)、(PORT=port)パターンを探し、TCP データ チャネルのクライアント側で NAT とゲートのオープンを実行します。

TALK を有効にする

ALG の TALK プロトコルを有効にする場合は、このチェック ボックスをオンにします。

TALK プロトコルは、制御チャネル接続に UDP ポート 517 とポート 518 を使用します。talk プログラムは、サーバーとクライアントで構成されています。サーバーはクライアント通知を処理し、トークセッションの確立に役立ちます。ntalk と talkd という 2 種類のトーク サーバーがあります。TALK ALG は、ntalk と talkd の両方の形式のパケットを処理します。また、必要に応じてNATとゲートを開く機能も備えています。

TFTP を有効にする

ALGのTFTP(トリビアルファイル転送プロトコル)を有効にする場合は、このチェック ボックスをオンにします。

TFTP ALGは、要求を開始するTFTPパケットを処理し、ゲートを開いて、逆方向からリクエストを送信するポートに戻すパケットを許可します。

Dns

DNS を有効にする

ALG の DNS(ドメイン名システム)を有効にする場合は、このチェック ボックスをオンにします。

DNS ALG は DNS クエリーを監視し、パケットに応答し、DNS フラグがパケットが応答メッセージであることを示す場合、セッションを閉じます。

改ざん

以下のいずれかのオプションを選択します。

  • サニティー チェック-DNS ALG サニティー チェックのみを実行します。

  • なし —すべての DNS ALG クロッキングを無効にします。

最大メッセージ長

DNS メッセージの最大長を指定する番号を選択します。

範囲: 512~8192 バイト。

オーバーサイズメッセージドロップを有効にします。

オーバーサイズメッセージドロップを有効にする場合は、このチェック ボックスをオンにします。

Ftp

FTP を有効にする

ALG のファイル転送プロトコル(FTP)を有効にする場合は、このチェック ボックスをオンにします。

FTP ALG は、ポート、PASV、および 227 コマンドを監視します。必要に応じて、デバイスのメッセージおよびゲート開口部のIP/ポートでNAT(ネットワークアドレス変換)を実行します。FTP ALG は FTP プットをサポートし、FTP get コマンド ブロッキングをサポートしています。FTP_NO_PUTまたはFTP_NO_GETがポリシーで設定されている場合、FTP ALG は、FTP STOR または FTP RETR コマンドを検出すると、ブロッキング コマンドを送信し、関連するオープン ゲートを閉じます。

[許可不一致の IP アドレスを有効にする]

IP アドレスの不一致を許可する場合は、このチェック ボックスをオンにします。

FTP 拡張を有効にする

セキュア FTP および FTP SSL プロトコルを有効にする場合は、このチェック ボックスをオンにします。

改行拡張を有効にする

改行拡張を有効にする場合は、このチェック ボックスをオンにします。

このオプションにより、FTP ALG は標準の CR+LF(キャリッジ リターン、続くライン フィード)に加えて、LF を改行として認識できます。

H323

H323を有効にする

H.323 ALG を有効にする場合は、このチェック ボックスをオンにします。

アプリケーション画面

H.323 プロトコル ALG のセキュリティ画面を指定します。

以下の詳細を入力します。

  • メッセージフラッドゲートキーパーのしきい値— 値を入力します。値の範囲は、1 秒あたり 1~5,0000 メッセージです。

    ゲートキーパーへのリモートアクセスサーバー(RAS)要求の処理速度を1秒あたりに制限します。しきい値を超えるメッセージは破棄されます。この機能はデフォルトで無効になっています。

  • 不明なメッセージを受信した場合のアクション:

    • NAT適用の許可を有効にする — 識別されていないH.323(サポートされていない)メッセージをデバイスが処理する方法を指定するには、このチェック ボックスをオンにします。

      デフォルトでは、不明なメッセージをドロップします。未知のメッセージを許可するとセキュリティが損なわれる可能性があり、推奨されません。ただし、セキュアなテスト環境や実稼働環境では、このステートメントは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。未知のH.323メッセージを許可することで、ネットワークを運用し、後でVoIPトラフィックを分析して、一部のメッセージがドロップされた理由を判断することができます。

      このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットを識別できない場合、常にドロップされます。サポートされているプロトコルとしてパケットが識別された場合、メッセージは処理されずに転送されます。

    • [ルーテッドの許可を有効にする] — セッションがルート モードになっている場合に、不明なメッセージの通過を許可することを指定する場合は、このチェック ボックスをオンにします。

      透過モードのセッションは、ルート モードであるかのように扱われます。

DSCP コードの書き換え

コード ポイント — リストから 6 ビット文字列を選択します。

Voice over IP Application Layer Gateway(VoIP ALG)を通過するトラフィックの書き換えルールを指定します。コード ポイントの値はバイナリ形式です。

VoIP書き換えルールは、混雑したネットワークのVoIP品質を向上させる差別化されたサービスコードポイント(DSCP)メカニズムを通じて、発信パケット内の適切なCoS(サービスクラス)ビットを変更します。

エンドポイント

以下の詳細を入力します。

  • エンドポイントのタイムアウト — NATテーブル内のエントリーのタイムアウト値を秒単位で入力します。

    範囲:10~50,000秒

    NAT テーブル内のエントリの長さを制御します。

  • 任意の送信元ポートからのメディアの許可を有効にする — 任意のポート番号からのメディアトラフィックを許可するには、このオプションを選択します。

IKE-ESP

IKE-ESP を有効にする

IKE-ESP を有効にするには、このチェック ボックスをオンにします。

ESP ゲート タイムアウト(sec)

2~30 秒のゲート タイムアウトを選択します。

ESP セッション タイムアウト(sec)

60~2400 秒の ESP タイムアウト セッションを選択します。

ALG 状態タイムアウト(Sec)

ALG 状態のタイムアウト時間を 180~86400 秒から選択します。

MGCP

MGCP を有効にする

MGCP(Media Gateway Control Protocol)を有効にする場合は、このチェック ボックスをオンにします。

非アクティブなメディアタイムアウト

アクティビティが検出されない場合、ファイアウォールの一時的な開口部(ピンホール)がメディアに対して開いたままになる最大時間を指定するには、値を選択します。10~2,550秒の範囲です。

グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を指定します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたファイアウォール MGCP ALG の一時的な開口部(ピンホール)は閉じられます。デフォルト設定は120秒です。10~2550秒の範囲です。タイムアウト時に、メディア(セッションとピンホール)のリソースが削除される間、コールは終了しないことに注意してください。

最大通話時間

3~720 分の値を選択します。

コールの最大長を設定します。コールがこのパラメータ設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は720分です。3~720分の範囲です

トランザクションのタイムアウト

3~50秒の値を入力して、

MGCP トランザクションのタイムアウト値を指定します。トランザクションとは、ゲートウェイからコール エージェントへの NTFY、コール エージェントからゲートウェイへの 200 OK などのシグナリング メッセージです。デバイスは、これらのトランザクションを追跡し、タイムアウトしたときにクリアします。

アプリケーション画面

以下の詳細を入力します。

  • メッセージ フラッドしきい値 — メディア ゲートウェイあたり 2~50,000 秒の値を入力します。

    Media Gateway へのメッセージ要求の処理速度を 1 秒あたりに制限します。しきい値を超えるメッセージは、MGCP(Media Gateway Control Protocol)によって破棄されます。この機能はデフォルトで無効になっています。

  • 接続フラッド閾値 — 2~10,000の値を入力します。

    1 秒あたりに許可される新しい接続要求の数を制限します。ALG を超えるメッセージ。

  • 未知のメッセージの受信時のアクション — 以下のいずれかを入力します。

    • [NAT の許可の適用を有効にする] — ジュニパーネットワークス デバイスが識別されていない MGCP メッセージを処理する方法を指定するには、このチェック ボックスをオンにします。

      デフォルトでは、不明(サポートされていない)メッセージをドロップします。未知のメッセージを許可するとセキュリティが損なわれる可能性があり、推奨されません。ただし、セキュアなテスト環境や実稼働環境では、このステートメントは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。未知の MGCP(サポートされていない)メッセージを許可することで、ネットワークを稼働させ、後で VoIP トラフィックを分析して、一部のメッセージがドロップされた理由を判断できます。

    • [ルーテッドの許可] を有効にする — このチェック ボックスをオンにします。

      セッションがルート モードの場合、不明なメッセージの受け渡しを許可することを指定します。(透過モードのセッションはルート モードとして扱われます)。

DSCP コードの書き換え

書き換えルールの転送クラスに適用するコード ポイント エイリアスまたはビット セットを指定します。

コード ポイント —6 ビット DSCP コード ポイント値を入力します。

MSRPC

MSRPC を有効にする

MSRPC を有効にする場合は、このチェック ボックスをオンにします。

あるホストで実行中のプログラムが、別のホストで実行されているプログラム内のプロシージャを呼び出すメソッドを提供します。RPC サービスは多数あり、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスはサービス プログラムのユニバーサル一意 IDentifier(UUID)に基づいて動的にネゴシエートされます。特定の UUID はトランスポート アドレスにマッピングされます。

最大グループ使用率(%)

グループ使用率の %を 10~100% から選択します。

マップエントリータイムアウト(最小)

5~4320 分のマップエントリータイムアウトセッションを選択します。

Sccp

SCCP を有効にする

スキニークライアントコントロールプロトコルを有効にする場合は、このチェック ボックスをオンにします。

非アクティブなメディアタイムアウト

10~600 秒の値を選択します。

グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を示します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開いたゲートは閉じられます。

アプリケーション画面

フラッドしきい値を呼び出す — 2~1,000 の値を選択します。

処理しようとするコールの数を制限することで、SCCP ALG クライアントをフラッド攻撃から保護します。

不明メッセージの受信に対するアクション

  • NAT 適用の許可を有効にする — このチェック ボックスをオンにします。

    識別されていない SCCP メッセージがデバイスでどのように処理されるかを指定します。デフォルトでは、不明(サポートされていない)メッセージをドロップします。未知のメッセージを許可するとセキュリティが損なわれる可能性があり、推奨されません。ただし、セキュアなテスト環境や実稼働環境では、このステートメントは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。未知のSCCP(サポートされていない)メッセージを許可することで、ネットワークを運用し、後でVoIPトラフィックを分析して、一部のメッセージがドロップされた理由を判断することができます。

    このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットを識別できない場合、常にドロップされます。サポートされているプロトコルとしてパケットが識別された場合、メッセージは処理されずに転送されます。

  • [ルーテッドの許可] を有効にする — このチェック ボックスをオンにします。

    セッションがルート モードの場合、不明なメッセージの受け渡しを許可することを指定します。(透過モードのセッションは、ルート モードであるかのように扱われます。

DSCP コードの書き換え

コード ポイント —6 ビット DSCP コード ポイント値を入力します。

Sip

SIPを有効にする

セッション開始プロトコル(SIP)を有効にする場合は、このチェック ボックスをオンにします。

保留リソースの有効化

メディア ストリームが保留状態になっている場合でも、デバイスが SIP のメディア リソースを解放するかどうかを有効にする場合は、このチェック ボックスをオンにします。

デフォルトでは、メディア・ストリーム・リソースは、メディア・ストリームが保留されたときに解放されます。

最大通話時間

3~720 分の値を選択します。

コールの絶対最大長を設定します。コールがこのパラメータ設定を超えると、SIP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は720分で、範囲は3分から720分です。

C タイムアウト

3~10 分の値を選択します。

プロキシで INVITE トランザクションのタイムアウトを分で指定します。デフォルトは3です。SIP ALG は中央にあるため、INVITE トランザクション タイマー値 B((64 * T1)= 32 秒)を使用する代わりに、SIP ALG はプロキシからタイマー値を取得します。

T4 間隔

5~10秒の値を選択します。

メッセージがネットワークに残る最大時間を指定します。デフォルトは5秒です。範囲は5~10秒です。多くの SIP タイマーは T4-Interval(RFC 3261 で説明されているように)で拡張されるため、T4-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。

非アクティブなメディアタイムアウト

10~2,550秒の値を選択します。

グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を指定します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用にオープンされたファイアウォール SIP ALG の一時的な開口部(ピンホール)は閉じられます。デフォルト設定は120秒です。の範囲は10~2550秒です。タイムアウト時に、メディア(セッションとピンホール)のリソースが削除される間、コールは終了しないことに注意してください。

T1 間隔

500~5000 ミリ秒の値を選択します。

エンドポイント間のトランザクションの往復時間の見積もりを秒単位で指定します。デフォルトは500ミリ秒です。多くの SIP タイマーは T1 間隔(RFC 3261 で説明されているように)で拡張されるため、T1-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。

アプリケーション画面

不明メッセージの受信時のアクション:

  • [許可する NAT 適用を有効にする] — デバイスによる識別されていない SIP メッセージの処理を有効にする場合は、このチェック ボックスをオンにします。

    このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットを識別できない場合、常にドロップされます。サポートされているプロトコルとしてパケットが識別された場合、メッセージは処理されずに転送されます。

  • [ルーテッドの許可を有効にする] — セッションがルート モードになっている場合、不明なメッセージの通過を許可する場合は、このチェック ボックスをオンにします。(透過モードのセッションはルート モードとして扱われます)。

保護オプション

  • SIP 招待攻撃テーブルのエントリー タイムアウト—1~3,600 秒の値を入力します。

    アプリケーション画面にリストされている各 INVITE に対して攻撃テーブルを作成する時間(秒単位)を指定します。

  • 攻撃防御を有効にする — すべてのサーバー、選択したサーバー、または [なし] のいずれかのオプションを選択します。

    INVITE 攻撃からサーバーを保護します。SIP アプリケーション画面を設定して、INVITE 攻撃から一部またはすべての宛先 IP アドレスでサーバーを保護します。

    [選択したサーバー] を選択したら、宛先 IP アドレスを入力して [+] をクリックします。宛先 IP アドレスを選択し、 X をクリックして削除できます。

DSCP コードの書き換え

コード ポイント —6 ビット DSCP コード ポイント値を入力します。

SUNRPC

SUNRPC を有効にする

SUNRPC を有効にするには、このチェック ボックスをオンにします。

RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスはサービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPC プログラム番号とバージョン番号をトランスポート アドレスにマッピングするために、いくつかのバインディング プロトコルが定義されています。

最大グループ使用率(%)

グループ使用率の最大 % を 10~ 100% から選択します。

マップエントリーのタイムアウト

5~4320 分のマップエントリータイムアウトセッションを選択します。