ALGページについて
現在位置: ALG >セキュリティ サービス
このページを使用して、アプリケーション層ゲートウェイ (ALG) を構成します。
フィールドの説明
表 1 に、ALG ページのフィールドを示します。
構成が完了したら、[ OK ] をクリックして変更を保存するか、[ リセット] をクリックして変更を元に戻します。
フィールド |
説明 |
---|---|
メイン | |
PPTP を有効にする |
ALG のポイントツーポイント トンネリング プロトコル (PPTP) を有効にするには、このチェック ボックスをオンにします。 PPTP は、TCP/IP ネットワーク間で PPP データをトンネリングするレイヤー 2 プロトコルです。PPTPクライアントはWindowsシステムで無料で利用でき、VPNを構築するために広く展開されています。 |
RSH の有効化 |
チェックボックスを選択して、ALG の RSH を有効にします。 RSH ALG は、ポート 514 宛ての TCP パケットを処理し、RSH port コマンドを処理します。RSH ALG は、port コマンドでポートに対して NAT を実行し、必要に応じてゲートを開放します。 |
RTSP を有効にする |
ALG のリアルタイム ストリーミング プロトコル (RTSP) を有効にするには、チェック ボックスをオンにします。 |
SQL を有効にする |
ALG の構造化照会言語 (SQL) を有効にするには、チェック ボックスをオンにします。 SQLNET ALG は、サーバー側から SQL TNS 応答フレームを処理します。パケットを解析して(HOST=ipaddress)、(PORT=port)パターンを探し、TCPデータチャネルのクライアント側でNATとゲートオープンを実行します。 |
トークを有効にする |
チェックボックスを選択して、ALG の TALK プロトコルを有効にします。 TALK プロトコルは、制御チャネル接続に UDP ポート 517 とポート 518 を使用します。トークプログラムは、サーバーとクライアントで構成されています。サーバーはクライアント通知を処理し、トークセッションの確立を支援します。トークサーバーには、ntalkとtalkdの2種類があります。TALK ALG は、ntalk と talkd の両方のフォーマットのパケットを処理します。また、必要に応じてNATやゲート開放も行います。 |
TFTP の有効化 |
ALG の簡易ファイル転送プロトコル (TFTP) を有効にするには、このチェック ボックスをオンにします。 TFTP ALG は、リクエストを開始する TFTP パケットを処理し、ゲートを開いて、逆方向からリクエストを送信したポートへのリターン パケットを許可します。 |
Dns | |
DNS を有効にする |
チェックボックスを選択して、ALG のドメインネームシステム (DNS) を有効にします。 DNS ALG は、DNS クエリと応答パケットを監視し、DNS フラグがパケットが応答メッセージであることを示している場合はセッションを閉じます。 |
改ざん |
次のいずれかのオプションを選択します。
|
メッセージの最大長 |
DNS メッセージの最大長を指定する数値を選択します。 範囲: 512 から 8192 バイト。 |
[特大メッセージの破棄] を有効にします。 |
チェックボックスをオンにすると、特大のメッセージドロップが有効になります。 |
Ftp | |
FTP を有効にする |
チェックボックスをオンにして、ALG のファイル転送プロトコル (FTP) を有効にします。 FTP ALG は、PORT、PASV、および 227 コマンドを監視します。必要に応じて、メッセージのIP/ポートとデバイスのゲート開放に対してネットワークアドレス変換(NAT)を実行します。FTP ALG は、FTP put と FTP get コマンドのブロックをサポートしています。ポリシーにFTP_NO_PUTまたはFTP_NO_GETが設定されている場合、FTP ALG はブロッキング コマンドを送り返し、FTP STOR または FTP RETR コマンドを検出すると、関連付けられているオープン ゲートを閉じます。 |
[不一致の IP アドレスを許可する] を有効にします |
チェックボックスをオンにすると、IPアドレスの不一致が許可されます。 |
FTP 拡張機能を有効にする |
このチェック・ボックスを選択して、セキュア FTP および FTP SSL プロトコルを有効にします。 |
改行延長を有効にする |
チェックボックスをオンにすると、改行延長が有効になります。 このオプションを使用すると、FTP ALGは、標準のCR + LF(キャリッジリターンとそれに続く改行)に加えて、LFを改行として認識できるようになります。 |
H323 | |
H323を有効にする |
チェックボックスをオンにして、H.323 ALG を有効にします。 |
アプリケーション画面 |
H.323 プロトコル ALG のセキュリティ画面を指定します。 次の詳細を入力します。
|
DSCPコードの書き換え |
[コード ポイント] - リストから 6 ビット文字列を選択します。 ボイスオーバーIPアプリケーション層ゲートウェイ(VoIP ALG)を通過するトラフィックの書き換えルールを指定します。コード ポイントの値はバイナリ形式です。 VoIP書き換えルールは、輻輳したネットワークでVoIP品質を向上させる差別化されたサービスコードポイント(DSCP)メカニズムを介して、発信パケットの適切なサービスクラス(CoS)ビットを変更します。 |
エンドポイント |
次の詳細を入力します。
|
IKE-ESP | |
IKE-ESPを有効にします |
チェックボックスを選択してIKE-ESPを有効にします。 |
ESP ゲート タイムアウト (秒) |
ゲート タイムアウトを 2 秒から 30 秒の範囲で選択します。 |
ESP セッション タイムアウト (秒) |
ESP タイムアウト セッションを 60 秒から 2400 秒の範囲で選択します。 |
ALG 状態タイムアウト (秒) |
ALG 状態のタイムアウトを 180 秒から 86400 秒まで選択します。 |
ティッカー | |
MGCP を有効にする |
チェックボックスを選択して、メディアゲートウェイ制御プロトコル(MGCP)を有効にします。 |
非アクティブなメディアのタイムアウト |
アクティビティが検出されなかった場合に、ファイアウォールの一時的な開口部(ピンホール)がメディア用に開いたままになる最大時間を指定する値を選択します。範囲は 10 から 2,550 秒からです。 グループ内にメディア(RTPまたはRTCP)トラフィックなしでコールがアクティブのままでいられる最大時間(秒)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたファイアウォールMGCP ALGの一時的な開口部(ピンホール)が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒からです。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除されても、呼び出しは終了しないことに注意してください。 |
最大通話時間 |
3 分から 720 分までの値を選択します。 通話の最大長を設定します。コールがこのパラメーター設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。既定の設定は 720 分です。範囲は 3 から 720 分です。 |
トランザクション タイムアウト |
3 秒から 50 秒の値を入力して指定します MGCP トランザクションのタイムアウト値を指定します。トランザクションは、ゲートウェイからコール エージェントへの NTFY や、コール エージェントからゲートウェイへの 200 OK などのシグナリング メッセージです。デバイスはこれらのトランザクションを追跡し、タイムアウトするとクリアします。 |
アプリケーション画面 |
次の詳細を入力します。
|
DSCPコードの書き換え |
書き換え規則の転送クラスに適用するコードポイントエイリアスまたはビットセットを指定します。 コード ポイント:6 ビットの DSCP コード ポイント値を入力します。 |
ティッカー | |
MSRPCを有効にする |
チェックボックスをオンにして、MSRPCを有効にします。 あるホストで実行されているプログラムが、別のホストで実行されているプログラムのプロシージャを呼び出すためのメソッドを提供します。RPC サービスは多数あり、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービス プログラムのユニバーサル一意識別子 (UUID) に基づいて動的にネゴシエートされます。特定の UUID はトランスポート アドレスにマップされます。 |
最大グループ使用量 (%) |
グループ使用率を 10% から 100% の範囲で選択します。 |
マップ エントリ タイムアウト (分) |
マップ エントリ タイムアウト セッションを 5 分から 4320 分の範囲で選択します。 |
Sccp | |
SCCP の有効化 |
チェックボックスを選択して、Skinny クライアント制御プロトコルを有効にします。 |
非アクティブなメディアのタイムアウト |
10 秒から 600 秒までの値を選択します。 グループ内にメディア(RTP または RTCP)トラフィックがない状態でコールがアクティブを維持できる最大時間(秒)を示します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたゲートが閉じられます。 |
アプリケーション画面 |
コール フラッドしきい値:2 〜 1,000 の値を選択します。 処理を試みるコールの数を制限することで、SCCP ALG クライアントをフラッド攻撃から保護します。 |
不明なメッセージを受信したときのアクション |
|
DSCPコードの書き換え |
コード ポイント:6 ビットの DSCP コード ポイント値を入力します。 |
Sip | |
SIP を有効にする |
チェックボックスをオンにして、セッション開始プロトコル(SIP)を有効にします。 |
保持リソースの有効化 |
このチェックボックスをオンにすると、メディアストリームが保留になっている場合でも、デバイスがSIPのメディアリソースを解放するかどうかが有効になります。 既定では、メディア ストリームのリソースは、メディア ストリームが保持されると解放されます。 |
最大通話時間 |
3 分から 720 分までの値を選択します。 呼び出しの絶対最大長を設定します。コールがこのパラメーター設定を超えると、SIP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分で、範囲は 3 分から 720 分です。 |
C タイムアウト |
3 分から 10 分までの値を選択します。 プロキシでの INVITE トランザクションのタイムアウトを分単位で指定します。デフォルトは 3 です。SIP ALG は中央にあるため、INVITE トランザクション タイマー値 B ((64 * T1) = 32 秒) を使用する代わりに、SIP ALG はプロキシからタイマー値を取得します。 |
T4インターバル |
5 秒から 10 秒までの値を選択します。 メッセージがネットワークに残る最大時間を指定します。デフォルトは 5 秒です。範囲は 5 から 10 秒です。多くの SIP タイマーは(RFC 3261 で説明されているように)T4 インターバルに伴ってスケーリングされるため、T4 インターバル タイマーの値を変更すると、それらの SIP タイマーも調整されます。 |
非アクティブなメディアのタイムアウト |
10 秒から 2,550 秒までの値を選択します。 グループ内にメディア(RTPまたはRTCP)トラフィックなしでコールがアクティブのままでいられる最大時間(秒)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開かれたファイアウォールSIP ALGの一時的な開口部(ピンホール)が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒です。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除されても、呼び出しは終了しないことに注意してください。 |
T1 間隔 |
500 から 5000 ミリ秒の値を選択します。 エンドポイント間のトランザクションの推定往復時間を秒単位で指定します。デフォルトは 500 ミリ秒です。多くのSIPタイマーは(RFC 3261 で説明されているように)T1 インターバルに伴ってスケーリングされるため、T1-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。 |
アプリケーション画面 |
不明なメッセージを受信したときのアクション:
|
保護オプション |
|
DSCPコードの書き換え |
コード ポイント:6 ビットの DSCP コード ポイント値を入力します。 |
サンルプ | |
SUNRPCを有効にする |
チェックボックスをオンにして、SUNRPCを有効にします。 RPC サービスは多数あり、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPC プログラム番号とバージョン番号をトランスポート アドレスにマッピングするために、いくつかのバインド プロトコルが定義されています。 |
最大グループ使用量 (%) |
グループの最大使用率を 10 から 100% の範囲で選択します。 |
マップ エントリのタイムアウト |
マップ エントリ タイムアウト セッションを 5 分から 4320 分の範囲で選択します。 |