ALG ページについて
お客様のいるいる: セキュリティサービス > ALG。
このページを使用して、ALG(アプリケーション層ゲートウェイ)を設定します。
フィールドの説明
表 1 では、ALG ページのフィールドについて説明します。
設定が完了したら、[OK] を クリックして変更を保存するか、[ リセット ]をクリックして変更を元に戻します。
フィールド |
説明 |
---|---|
メイン | |
PPTP を有効にする |
ALG のポイントツーポイント トンネリング プロトコル(PPTP)を有効にする場合は、このチェック ボックスをオンにします。 PPTP は、TCP/IP ネットワーク上で PPP データをトンネリングするレイヤー 2 プロトコルです。PPTPクライアントは、Windowsシステムで自由に利用でき、VPNを構築するために広く展開されています。 |
RSH を有効にする |
ALG の RSH を有効にする場合は、このチェック ボックスをオンにします。 RSH ALG は、ポート 514 宛ての TCP パケットを処理し、RSH ポート コマンドを処理します。RSH ALG は port コマンドのポートで NAT を実行し、必要に応じてゲートを開きます。 |
RTSP を有効にする |
ALG の RTSP(リアルタイム ストリーミング プロトコル)を有効にする場合は、このチェック ボックスをオンにします。 |
SQL を有効にする |
ALG の構造化クエリ言語(SQL)を有効にする場合は、このチェック ボックスをオンにします。 SQLNET ALG は、サーバー側からの SQL TNS 応答フレームを処理します。パケットを解析し、(HOST=ipaddress)、(PORT=port)パターンを探し、TCP データ チャネルのクライアント側で NAT とゲートのオープンを実行します。 |
TALK を有効にする |
ALG の TALK プロトコルを有効にする場合は、このチェック ボックスをオンにします。 TALK プロトコルは、制御チャネル接続に UDP ポート 517 とポート 518 を使用します。talk プログラムは、サーバーとクライアントで構成されています。サーバーはクライアント通知を処理し、トークセッションの確立に役立ちます。ntalk と talkd という 2 種類のトーク サーバーがあります。TALK ALG は、ntalk と talkd の両方の形式のパケットを処理します。また、必要に応じてNATとゲートを開く機能も備えています。 |
TFTP を有効にする |
ALGのTFTP(トリビアルファイル転送プロトコル)を有効にする場合は、このチェック ボックスをオンにします。 TFTP ALGは、要求を開始するTFTPパケットを処理し、ゲートを開いて、逆方向からリクエストを送信するポートに戻すパケットを許可します。 |
Dns | |
DNS を有効にする |
ALG の DNS(ドメイン名システム)を有効にする場合は、このチェック ボックスをオンにします。 DNS ALG は DNS クエリーを監視し、パケットに応答し、DNS フラグがパケットが応答メッセージであることを示す場合、セッションを閉じます。 |
改ざん |
以下のいずれかのオプションを選択します。
|
最大メッセージ長 |
DNS メッセージの最大長を指定する番号を選択します。 範囲: 512~8192 バイト。 |
オーバーサイズメッセージドロップを有効にします。 |
オーバーサイズメッセージドロップを有効にする場合は、このチェック ボックスをオンにします。 |
Ftp | |
FTP を有効にする |
ALG のファイル転送プロトコル(FTP)を有効にする場合は、このチェック ボックスをオンにします。 FTP ALG は、ポート、PASV、および 227 コマンドを監視します。必要に応じて、デバイスのメッセージおよびゲート開口部のIP/ポートでNAT(ネットワークアドレス変換)を実行します。FTP ALG は FTP プットをサポートし、FTP get コマンド ブロッキングをサポートしています。FTP_NO_PUTまたはFTP_NO_GETがポリシーで設定されている場合、FTP ALG は、FTP STOR または FTP RETR コマンドを検出すると、ブロッキング コマンドを送信し、関連するオープン ゲートを閉じます。 |
[許可不一致の IP アドレスを有効にする] |
IP アドレスの不一致を許可する場合は、このチェック ボックスをオンにします。 |
FTP 拡張を有効にする |
セキュア FTP および FTP SSL プロトコルを有効にする場合は、このチェック ボックスをオンにします。 |
改行拡張を有効にする |
改行拡張を有効にする場合は、このチェック ボックスをオンにします。 このオプションにより、FTP ALG は標準の CR+LF(キャリッジ リターン、続くライン フィード)に加えて、LF を改行として認識できます。 |
H323 | |
H323を有効にする |
H.323 ALG を有効にする場合は、このチェック ボックスをオンにします。 |
アプリケーション画面 |
H.323 プロトコル ALG のセキュリティ画面を指定します。 以下の詳細を入力します。
|
DSCP コードの書き換え |
コード ポイント — リストから 6 ビット文字列を選択します。 Voice over IP Application Layer Gateway(VoIP ALG)を通過するトラフィックの書き換えルールを指定します。コード ポイントの値はバイナリ形式です。 VoIP書き換えルールは、混雑したネットワークのVoIP品質を向上させる差別化されたサービスコードポイント(DSCP)メカニズムを通じて、発信パケット内の適切なCoS(サービスクラス)ビットを変更します。 |
エンドポイント |
以下の詳細を入力します。
|
IKE-ESP | |
IKE-ESP を有効にする |
IKE-ESP を有効にするには、このチェック ボックスをオンにします。 |
ESP ゲート タイムアウト(sec) |
2~30 秒のゲート タイムアウトを選択します。 |
ESP セッション タイムアウト(sec) |
60~2400 秒の ESP タイムアウト セッションを選択します。 |
ALG 状態タイムアウト(Sec) |
ALG 状態のタイムアウト時間を 180~86400 秒から選択します。 |
MGCP | |
MGCP を有効にする |
MGCP(Media Gateway Control Protocol)を有効にする場合は、このチェック ボックスをオンにします。 |
非アクティブなメディアタイムアウト |
アクティビティが検出されない場合、ファイアウォールの一時的な開口部(ピンホール)がメディアに対して開いたままになる最大時間を指定するには、値を選択します。10~2,550秒の範囲です。 グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を指定します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたファイアウォール MGCP ALG の一時的な開口部(ピンホール)は閉じられます。デフォルト設定は120秒です。10~2550秒の範囲です。タイムアウト時に、メディア(セッションとピンホール)のリソースが削除される間、コールは終了しないことに注意してください。 |
最大通話時間 |
3~720 分の値を選択します。 コールの最大長を設定します。コールがこのパラメータ設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は720分です。3~720分の範囲です |
トランザクションのタイムアウト |
3~50秒の値を入力して、 MGCP トランザクションのタイムアウト値を指定します。トランザクションとは、ゲートウェイからコール エージェントへの NTFY、コール エージェントからゲートウェイへの 200 OK などのシグナリング メッセージです。デバイスは、これらのトランザクションを追跡し、タイムアウトしたときにクリアします。 |
アプリケーション画面 |
以下の詳細を入力します。
|
DSCP コードの書き換え |
書き換えルールの転送クラスに適用するコード ポイント エイリアスまたはビット セットを指定します。 コード ポイント —6 ビット DSCP コード ポイント値を入力します。 |
MSRPC | |
MSRPC を有効にする |
MSRPC を有効にする場合は、このチェック ボックスをオンにします。 あるホストで実行中のプログラムが、別のホストで実行されているプログラム内のプロシージャを呼び出すメソッドを提供します。RPC サービスは多数あり、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスはサービス プログラムのユニバーサル一意 IDentifier(UUID)に基づいて動的にネゴシエートされます。特定の UUID はトランスポート アドレスにマッピングされます。 |
最大グループ使用率(%) |
グループ使用率の %を 10~100% から選択します。 |
マップエントリータイムアウト(最小) |
5~4320 分のマップエントリータイムアウトセッションを選択します。 |
Sccp | |
SCCP を有効にする |
スキニークライアントコントロールプロトコルを有効にする場合は、このチェック ボックスをオンにします。 |
非アクティブなメディアタイムアウト |
10~600 秒の値を選択します。 グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を示します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開いたゲートは閉じられます。 |
アプリケーション画面 |
フラッドしきい値を呼び出す — 2~1,000 の値を選択します。 処理しようとするコールの数を制限することで、SCCP ALG クライアントをフラッド攻撃から保護します。 |
不明メッセージの受信に対するアクション |
|
DSCP コードの書き換え |
コード ポイント —6 ビット DSCP コード ポイント値を入力します。 |
Sip | |
SIPを有効にする |
セッション開始プロトコル(SIP)を有効にする場合は、このチェック ボックスをオンにします。 |
保留リソースの有効化 |
メディア ストリームが保留状態になっている場合でも、デバイスが SIP のメディア リソースを解放するかどうかを有効にする場合は、このチェック ボックスをオンにします。 デフォルトでは、メディア・ストリーム・リソースは、メディア・ストリームが保留されたときに解放されます。 |
最大通話時間 |
3~720 分の値を選択します。 コールの絶対最大長を設定します。コールがこのパラメータ設定を超えると、SIP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は720分で、範囲は3分から720分です。 |
C タイムアウト |
3~10 分の値を選択します。 プロキシで INVITE トランザクションのタイムアウトを分で指定します。デフォルトは3です。SIP ALG は中央にあるため、INVITE トランザクション タイマー値 B((64 * T1)= 32 秒)を使用する代わりに、SIP ALG はプロキシからタイマー値を取得します。 |
T4 間隔 |
5~10秒の値を選択します。 メッセージがネットワークに残る最大時間を指定します。デフォルトは5秒です。範囲は5~10秒です。多くの SIP タイマーは T4-Interval(RFC 3261 で説明されているように)で拡張されるため、T4-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。 |
非アクティブなメディアタイムアウト |
10~2,550秒の値を選択します。 グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を指定します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用にオープンされたファイアウォール SIP ALG の一時的な開口部(ピンホール)は閉じられます。デフォルト設定は120秒です。の範囲は10~2550秒です。タイムアウト時に、メディア(セッションとピンホール)のリソースが削除される間、コールは終了しないことに注意してください。 |
T1 間隔 |
500~5000 ミリ秒の値を選択します。 エンドポイント間のトランザクションの往復時間の見積もりを秒単位で指定します。デフォルトは500ミリ秒です。多くの SIP タイマーは T1 間隔(RFC 3261 で説明されているように)で拡張されるため、T1-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。 |
アプリケーション画面 |
不明メッセージの受信時のアクション:
|
保護オプション |
|
DSCP コードの書き換え |
コード ポイント —6 ビット DSCP コード ポイント値を入力します。 |
SUNRPC | |
SUNRPC を有効にする |
SUNRPC を有効にするには、このチェック ボックスをオンにします。 RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスはサービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPC プログラム番号とバージョン番号をトランスポート アドレスにマッピングするために、いくつかのバインディング プロトコルが定義されています。 |
最大グループ使用率(%) |
グループ使用率の最大 % を 10~ 100% から選択します。 |
マップエントリーのタイムアウト |
5~4320 分のマップエントリータイムアウトセッションを選択します。 |