Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ALGページについて

現在位置: ALG >セキュリティ サービス

このページを使用して、アプリケーション層ゲートウェイ (ALG) を構成します。

フィールドの説明

表 1 に、ALG ページのフィールドを示します。

構成が完了したら、[ OK ] をクリックして変更を保存するか、[ リセット] をクリックして変更を元に戻します。

表 1: ALG ページのフィールド

フィールド

説明

メイン

PPTP を有効にする

ALG のポイントツーポイント トンネリング プロトコル (PPTP) を有効にするには、このチェック ボックスをオンにします。

PPTP は、TCP/IP ネットワーク間で PPP データをトンネリングするレイヤー 2 プロトコルです。PPTPクライアントはWindowsシステムで無料で利用でき、VPNを構築するために広く展開されています。

RSH の有効化

チェックボックスを選択して、ALG の RSH を有効にします。

RSH ALG は、ポート 514 宛ての TCP パケットを処理し、RSH port コマンドを処理します。RSH ALG は、port コマンドでポートに対して NAT を実行し、必要に応じてゲートを開放します。

RTSP を有効にする

ALG のリアルタイム ストリーミング プロトコル (RTSP) を有効にするには、チェック ボックスをオンにします。

SQL を有効にする

ALG の構造化照会言語 (SQL) を有効にするには、チェック ボックスをオンにします。

SQLNET ALG は、サーバー側から SQL TNS 応答フレームを処理します。パケットを解析して(HOST=ipaddress)、(PORT=port)パターンを探し、TCPデータチャネルのクライアント側でNATとゲートオープンを実行します。

トークを有効にする

チェックボックスを選択して、ALG の TALK プロトコルを有効にします。

TALK プロトコルは、制御チャネル接続に UDP ポート 517 とポート 518 を使用します。トークプログラムは、サーバーとクライアントで構成されています。サーバーはクライアント通知を処理し、トークセッションの確立を支援します。トークサーバーには、ntalkとtalkdの2種類があります。TALK ALG は、ntalk と talkd の両方のフォーマットのパケットを処理します。また、必要に応じてNATやゲート開放も行います。

TFTP の有効化

ALG の簡易ファイル転送プロトコル (TFTP) を有効にするには、このチェック ボックスをオンにします。

TFTP ALG は、リクエストを開始する TFTP パケットを処理し、ゲートを開いて、逆方向からリクエストを送信したポートへのリターン パケットを許可します。

Dns

DNS を有効にする

チェックボックスを選択して、ALG のドメインネームシステム (DNS) を有効にします。

DNS ALG は、DNS クエリと応答パケットを監視し、DNS フラグがパケットが応答メッセージであることを示している場合はセッションを閉じます。

改ざん

次のいずれかのオプションを選択します。

  • サニティ チェック - DNS ALG サニティ チェックのみを実行します。

  • [なし] - すべての DNS ALG ドクターを無効にします。

メッセージの最大長

DNS メッセージの最大長を指定する数値を選択します。

範囲: 512 から 8192 バイト。

[特大メッセージの破棄] を有効にします。

チェックボックスをオンにすると、特大のメッセージドロップが有効になります。

Ftp

FTP を有効にする

チェックボックスをオンにして、ALG のファイル転送プロトコル (FTP) を有効にします。

FTP ALG は、PORT、PASV、および 227 コマンドを監視します。必要に応じて、メッセージのIP/ポートとデバイスのゲート開放に対してネットワークアドレス変換(NAT)を実行します。FTP ALG は、FTP put と FTP get コマンドのブロックをサポートしています。ポリシーにFTP_NO_PUTまたはFTP_NO_GETが設定されている場合、FTP ALG はブロッキング コマンドを送り返し、FTP STOR または FTP RETR コマンドを検出すると、関連付けられているオープン ゲートを閉じます。

[不一致の IP アドレスを許可する] を有効にします

チェックボックスをオンにすると、IPアドレスの不一致が許可されます。

FTP 拡張機能を有効にする

このチェック・ボックスを選択して、セキュア FTP および FTP SSL プロトコルを有効にします。

改行延長を有効にする

チェックボックスをオンにすると、改行延長が有効になります。

このオプションを使用すると、FTP ALGは、標準のCR + LF(キャリッジリターンとそれに続く改行)に加えて、LFを改行として認識できるようになります。

H323

H323を有効にする

チェックボックスをオンにして、H.323 ALG を有効にします。

アプリケーション画面

H.323 プロトコル ALG のセキュリティ画面を指定します。

次の詳細を入力します。

  • メッセージ フラッド ゲートキーパーしきい値 - 値を入力します。値の範囲は、1 秒あたり 1 から 50000 メッセージです。

    ゲートキーパーへのリモートアクセスサーバー(RAS)要求が処理される秒あたりのレートを制限します。しきい値を超えるメッセージはドロップされます。この機能はデフォルトでは無効になっています。

  • 不明なメッセージを受信したときのアクション:

    • [NAT の適用を許可を有効にする(Enable Enable Permit NAT Applied)]:このチェックボックスを選択して、不明な H.323(サポートされていない)メッセージをデバイスがどのように処理するかを指定します。

      デフォルトでは、不明なメッセージはドロップされます。不明なメッセージを許可すると、セキュリティが損なわれる可能性があるため、お勧めしません。ただし、安全なテスト環境または本番環境では、このステートメントは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明な H.323 メッセージを許可することで、ネットワークを運用し、後で VoIP トラフィックを分析して、一部のメッセージがドロップされた理由を特定できます。

      このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットを識別できない場合、常にドロップされます。パケットがサポートされているプロトコルとして識別された場合、メッセージは処理されずに転送されます。

    • [Enable Permit Routed d]:セッションがルート モードの場合に不明なメッセージの通過を許可するように指定するには、このチェック ボックスをオンにします。

      透過モードのセッションは、ルート モードであるかのように扱われます。

DSCPコードの書き換え

[コード ポイント] - リストから 6 ビット文字列を選択します。

ボイスオーバーIPアプリケーション層ゲートウェイ(VoIP ALG)を通過するトラフィックの書き換えルールを指定します。コード ポイントの値はバイナリ形式です。

VoIP書き換えルールは、輻輳したネットワークでVoIP品質を向上させる差別化されたサービスコードポイント(DSCP)メカニズムを介して、発信パケットの適切なサービスクラス(CoS)ビットを変更します。

エンドポイント

次の詳細を入力します。

  • エンドポイントのタイムアウト:NAT テーブルのエントリのタイムアウト値を秒単位で入力します。

    範囲: 10〜50,000秒

    NAT テーブル内のエントリの長さを制御します。

  • [任意の送信元ポートからのメディアを許可] - 任意のポート番号からのメディア トラフィックを許可するには、このオプションを選択します。

IKE-ESP

IKE-ESPを有効にします

チェックボックスを選択してIKE-ESPを有効にします。

ESP ゲート タイムアウト (秒)

ゲート タイムアウトを 2 秒から 30 秒の範囲で選択します。

ESP セッション タイムアウト (秒)

ESP タイムアウト セッションを 60 秒から 2400 秒の範囲で選択します。

ALG 状態タイムアウト (秒)

ALG 状態のタイムアウトを 180 秒から 86400 秒まで選択します。

ティッカー

MGCP を有効にする

チェックボックスを選択して、メディアゲートウェイ制御プロトコル(MGCP)を有効にします。

非アクティブなメディアのタイムアウト

アクティビティが検出されなかった場合に、ファイアウォールの一時的な開口部(ピンホール)がメディア用に開いたままになる最大時間を指定する値を選択します。範囲は 10 から 2,550 秒からです。

グループ内にメディア(RTPまたはRTCP)トラフィックなしでコールがアクティブのままでいられる最大時間(秒)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたファイアウォールMGCP ALGの一時的な開口部(ピンホール)が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒からです。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除されても、呼び出しは終了しないことに注意してください。

最大通話時間

3 分から 720 分までの値を選択します。

通話の最大長を設定します。コールがこのパラメーター設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。既定の設定は 720 分です。範囲は 3 から 720 分です。

トランザクション タイムアウト

3 秒から 50 秒の値を入力して指定します

MGCP トランザクションのタイムアウト値を指定します。トランザクションは、ゲートウェイからコール エージェントへの NTFY や、コール エージェントからゲートウェイへの 200 OK などのシグナリング メッセージです。デバイスはこれらのトランザクションを追跡し、タイムアウトするとクリアします。

アプリケーション画面

次の詳細を入力します。

  • メッセージ フラッディングしきい値:メディア ゲートウェイごとに 2 〜 50,000 秒の値を入力します。

    メディア ゲートウェイへのメッセージ要求が処理される秒あたりのレートを制限します。しきい値を超えるメッセージは、メディア ゲートウェイ制御プロトコル(MGCP)によって破棄されます。この機能はデフォルトでは無効になっています。

  • 接続フラッディングしきい値:2〜10,000の値を入力します。

    メディア ゲートウェイ(MG)あたりに許可される新規接続要求の数/秒を制限します。ALG を超えるメッセージ。

  • 不明なメッセージを受信したときのアクション - 次のいずれかを入力します。

    • [NAT の適用を許可を有効にする] - このチェック ボックスをオンにして、ジュニパー ネットワークス デバイスによる未確認 MGCP メッセージの処理方法を指定します。

      デフォルトでは、不明な(サポートされていない)メッセージはドロップされます。不明なメッセージを許可すると、セキュリティが損なわれる可能性があるため、お勧めしません。ただし、安全なテスト環境または本番環境では、このステートメントは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明な MGCP(サポートされていない)メッセージを許可することで、ネットワークを運用し、後で VoIP トラフィックを分析して、一部のメッセージがドロップされた理由を特定できます。

    • ルーティングの許可を有効にする - チェックボックスを選択します。

      セッションが経路モードの場合に不明なメッセージの通過を許可することを指定します。(透過モードのセッションはルート モードとして扱われます。)

DSCPコードの書き換え

書き換え規則の転送クラスに適用するコードポイントエイリアスまたはビットセットを指定します。

コード ポイント:6 ビットの DSCP コード ポイント値を入力します。

ティッカー

MSRPCを有効にする

チェックボックスをオンにして、MSRPCを有効にします。

あるホストで実行されているプログラムが、別のホストで実行されているプログラムのプロシージャを呼び出すためのメソッドを提供します。RPC サービスは多数あり、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービス プログラムのユニバーサル一意識別子 (UUID) に基づいて動的にネゴシエートされます。特定の UUID はトランスポート アドレスにマップされます。

最大グループ使用量 (%)

グループ使用率を 10% から 100% の範囲で選択します。

マップ エントリ タイムアウト (分)

マップ エントリ タイムアウト セッションを 5 分から 4320 分の範囲で選択します。

Sccp

SCCP の有効化

チェックボックスを選択して、Skinny クライアント制御プロトコルを有効にします。

非アクティブなメディアのタイムアウト

10 秒から 600 秒までの値を選択します。

グループ内にメディア(RTP または RTCP)トラフィックがない状態でコールがアクティブを維持できる最大時間(秒)を示します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたゲートが閉じられます。

アプリケーション画面

コール フラッドしきい値:2 〜 1,000 の値を選択します。

処理を試みるコールの数を制限することで、SCCP ALG クライアントをフラッド攻撃から保護します。

不明なメッセージを受信したときのアクション

  • [NAT の適用を許可を有効にする] - チェックボックスを選択します。

    デバイスによる識別不能 SCCP メッセージの処理方法を指定します。デフォルトでは、不明な(サポートされていない)メッセージはドロップされます。不明なメッセージを許可すると、セキュリティが損なわれる可能性があるため、お勧めしません。ただし、安全なテスト環境または本番環境では、このステートメントは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明な SCCP(サポートされていない)メッセージを許可することで、ネットワークを運用し、後で VoIP トラフィックを分析して、一部のメッセージがドロップされた理由を特定できます。

    このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットを識別できない場合、常にドロップされます。パケットがサポートされているプロトコルとして識別された場合、メッセージは処理されずに転送されます。

  • ルーティングの許可を有効にする - チェックボックスを選択します。

    セッションが経路モードの場合に不明なメッセージの通過を許可することを指定します。(透過モードのセッションは、ルート モードであるかのように扱われます)。

DSCPコードの書き換え

コード ポイント:6 ビットの DSCP コード ポイント値を入力します。

Sip

SIP を有効にする

チェックボックスをオンにして、セッション開始プロトコル(SIP)を有効にします。

保持リソースの有効化

このチェックボックスをオンにすると、メディアストリームが保留になっている場合でも、デバイスがSIPのメディアリソースを解放するかどうかが有効になります。

既定では、メディア ストリームのリソースは、メディア ストリームが保持されると解放されます。

最大通話時間

3 分から 720 分までの値を選択します。

呼び出しの絶対最大長を設定します。コールがこのパラメーター設定を超えると、SIP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分で、範囲は 3 分から 720 分です。

C タイムアウト

3 分から 10 分までの値を選択します。

プロキシでの INVITE トランザクションのタイムアウトを分単位で指定します。デフォルトは 3 です。SIP ALG は中央にあるため、INVITE トランザクション タイマー値 B ((64 * T1) = 32 秒) を使用する代わりに、SIP ALG はプロキシからタイマー値を取得します。

T4インターバル

5 秒から 10 秒までの値を選択します。

メッセージがネットワークに残る最大時間を指定します。デフォルトは 5 秒です。範囲は 5 から 10 秒です。多くの SIP タイマーは(RFC 3261 で説明されているように)T4 インターバルに伴ってスケーリングされるため、T4 インターバル タイマーの値を変更すると、それらの SIP タイマーも調整されます。

非アクティブなメディアのタイムアウト

10 秒から 2,550 秒までの値を選択します。

グループ内にメディア(RTPまたはRTCP)トラフィックなしでコールがアクティブのままでいられる最大時間(秒)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたファイアウォールSIP ALGの一時的な開口部(ピンホール)が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒です。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除されても、呼び出しは終了しないことに注意してください。

T1 間隔

500 から 5000 ミリ秒の値を選択します。

エンドポイント間のトランザクションの推定往復時間を秒単位で指定します。デフォルトは 500 ミリ秒です。多くのSIPタイマーは(RFC 3261 で説明されているように)T1 インターバルに伴ってスケーリングされるため、T1-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。

アプリケーション画面

不明なメッセージを受信したときのアクション:

  • [NAT の適用を許可を有効にする(Enable Enable Nat Applied)]:デバイスによる未確認 SIP メッセージの処理を有効にするには、このチェックボックスをオンにします。

    このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットを識別できない場合、常にドロップされます。パケットがサポートされているプロトコルとして識別された場合、メッセージは処理されずに転送されます。

  • Enable Permit Routed - チェックボックスをオンにすると、セッションがルートモードの場合に不明なメッセージの通過が許可されます。(透過モードのセッションはルート モードとして扱われます。)

保護オプション

  • SIP 招待攻撃テーブル エントリ タイムアウト:1 〜 3,600 秒の値を入力します。

    アプリケーション画面にリストされている各 INVITE の攻撃テーブル項目を作成する時間 (秒単位) を指定します。

  • 攻撃防御を有効にする - [すべてのサーバー]、[選択したサーバー]、または [なし] のいずれかのオプションを選択します。

    INVITE 攻撃からサーバーを保護します。一部またはすべての宛先 IP アドレスのサーバーを INVITE 攻撃から保護するように SIP アプリケーション画面を構成します。

    [選択したサーバー] を選択した場合は、宛先 IP アドレスを入力し、[ +] をクリックします。宛先 IP アドレスを選択し、[ X ] をクリックして削除できます。

DSCPコードの書き換え

コード ポイント:6 ビットの DSCP コード ポイント値を入力します。

サンルプ

SUNRPCを有効にする

チェックボックスをオンにして、SUNRPCを有効にします。

RPC サービスは多数あり、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPC プログラム番号とバージョン番号をトランスポート アドレスにマッピングするために、いくつかのバインド プロトコルが定義されています。

最大グループ使用量 (%)

グループの最大使用率を 10 から 100% の範囲で選択します。

マップ エントリのタイムアウト

マップ エントリ タイムアウト セッションを 5 分から 4320 分の範囲で選択します。