ALGページについて
You are here: セキュリティ サービス > ALG.
このページを使用して、アプリケーション層ゲートウェイ(ALG)を設定します。
フィールドの説明
表 1 は、ALG ページのフィールドを説明しています。
設定が完了したら、「 OK 」をクリックして変更を保存するか、「 リセット 」をクリックして変更を元に戻します。
畑 |
形容 |
---|---|
メイン | |
PPTPを有効にする |
チェックボックスをオンにすると、ALGのポイントツーポイントトンネリングプロトコル(PPTP)が有効になります。 PPTP は、TCP/IP ネットワーク間で PPP データをトンネリングするレイヤー 2 プロトコルです。PPTPクライアントは、Windowsシステムで無料で利用でき、VPNを構築するために広く導入されています。 |
RSH を有効にする |
チェックボックスをオンにすると、ALG の RSH が有効になります。 RSH ALG は、ポート 514 宛ての TCP パケットを処理し、RSH port コマンドを処理します。RSH ALG は、port コマンドでポートで NAT を実行し、必要に応じてゲートを開きます。 |
RTSP を有効にする |
チェックボックスをオンにして、ALGのリアルタイムストリーミングプロトコル(RTSP)を有効にします。 |
SQLを有効にする |
チェックボックスをオンにすると、ALGの構造化照会言語(SQL)が有効になります。 SQLNET ALG は、サーバー側から SQL TNS 応答フレームを処理します。パケットを解析し、(HOST=ipaddress)、(PORT=port)パターンを検索し、TCPデータチャネルのクライアント側でNATとゲートオープンを実行します。 |
TALKを有効にする |
チェックボックスをオンにして、ALGのTALKプロトコルを有効にします。 TALK プロトコルは、制御チャネル接続に UDP ポート 517 とポート 518 を使用します。トークプログラムは、サーバとクライアントから構成されます。サーバーはクライアント通知を処理し、トークセッションの確立を支援します。トークサーバには ntalk と talkd の 2 種類があります。TALK ALG は、ntalk 形式と talkd 形式の両方のパケットを処理します。また、必要に応じてNATやゲート開放も行います。 |
TFTPを有効にする |
チェックボックスをオンにすると、ALGのTFTP(簡易ファイル転送プロトコル)が有効になります。 TFTP ALGは、要求を開始するTFTPパケットを処理し、ゲートを開いて、逆方向から要求を送信するポートへのパケットの戻りを許可します。 |
DNS | |
DNS を有効にする |
チェックボックスをオンにして、ALGのドメインネームシステム(DNS)を有効にします。 DNS ALG は DNS クエリと応答パケットを監視し、DNS フラグがパケットが応答メッセージであることを示している場合はセッションを閉じます。 |
改ざん |
次のいずれかのオプションを選択します。
|
最大メッセージ長 |
数値を選択して、DNS メッセージの最大長を指定します。 範囲: 512 から 8192 バイト。 |
[オーバーサイズ メッセージ ドロップ] を有効にします。 |
チェックボックスをオンにすると、特大メッセージのドロップが有効になります。 |
FTP | |
FTP を有効にする |
チェックボックスをオンにして、ALGのファイル転送プロトコル(FTP)を有効にします。 FTP ALG は、PORT、PASV、および 227 コマンドを監視します。必要に応じて、メッセージ内のIP/ポートで NAT(ネットワークアドレス変換)を実行し、デバイスのゲート開口部を確認します。FTP ALG は、FTP put および FTP get コマンドのブロッキングをサポートしています。ポリシーで FTP_NO_PUT または FTP_NO_GET が設定されている場合、FTP ALG はブロッキング コマンドを送り返し、FTP STOR または FTP RETR コマンドを検出すると、関連する開いているゲートを閉じます。 |
不一致のIPアドレスを許可するを有効にします |
このチェックボックスをオンにすると、IP アドレスの不一致が許可されます。 |
FTPs 拡張機能を有効にする |
このチェックボックスをオンにすると、セキュアFTPおよびFTP SSLプロトコルが有効になります。 |
改行の延長を有効にする |
チェックボックスをオンにして、line-break-extension を有効にします。 このオプションを使用すると、FTP ALG は、標準の CR + LF (キャリッジ リターンとその後のライン フィード) に加えて、LF を改行として認識できます。 |
H323-J | |
H323 を有効にする |
チェックボックスをオンにして、H.323 ALG を有効にします。 |
アプリケーション画面 |
H.323プロトコルALGのセキュリティ画面を指定します。 次の詳細を入力します。
|
DSCP コードの書き換え |
[コード ポイント] - リストから 6 ビット文字列を選択します。 VoIP ALG(Voice over IP アプリケーション層ゲートウェイ)を通過するトラフィックの書き換えルールを指定します。コードポイントの値はバイナリ形式です。 VoIP書き換えルールは、輻輳したネットワークのVoIP品質を向上させる差別化されたサービスコードポイント(DSCP)メカニズムを介して、発信パケット内の適切なサービスクラス(CoS)ビットを変更します。 |
エンドポイント |
次の詳細を入力します。
|
IKE-ESP | |
IKE-ESP の有効化 |
チェックボックスをオンにして、IKE-ESP を有効にします。 |
ESP ゲート タイムアウト (秒) |
ゲートのタイムアウトを 2 秒から 30 秒の間で選択します。 |
ESP セッション タイムアウト (秒) |
ESP タイムアウト セッションを 60 秒から 2400 秒の間で選択します。 |
ALG 状態タイムアウト(秒) |
ALG 状態のタイムアウトを 180 秒から 86400 秒の間で選択します。 |
MGCP | |
MGCP の有効化 |
このチェックボックスをオンにすると、Media Gateway Control Protocol(MGCP)が有効になります。 |
非アクティブなメディアのタイムアウト |
アクティビティが検出されない場合に、ファイアウォールの一時的な開口部(ピンホール)がメディアに対して開いたままになる最大時間を指定する値を選択します。範囲は 10 から 2,550 秒からです。 グループ内にメディア(RTP または RTCP)トラフィックがなくても、コールがアクティブな状態を維持できる最大時間(秒単位)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブな期間がこの設定を超えると、メディア用に開かれているファイアウォール MGCP ALG の一時的な開口部(ピンホール)が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒からです。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除される一方で、コールは終了しないことに注意してください。 |
最大通話時間(Maximum Call Duration) |
3 分から 720 分までの値を選択します。 コールの最大長を設定します。コールがこのパラメータ設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分です。範囲は 3 から 720 分からです。 |
トランザクションのタイムアウト |
3 秒から 50 秒までの値を入力して指定します MGCP トランザクションのタイムアウト値を指定します。トランザクションは、ゲートウェイからコール エージェントへの NTFY や、コール エージェントからゲートウェイへの 200 OK などのシグナリング メッセージです。デバイスはこれらのトランザクションを追跡し、タイムアウトするとクリアします。 |
アプリケーション画面 |
次の詳細を入力します。
|
DSCP コードの書き換え |
書き換えルールの転送クラスに適用するコードポイントエイリアスまたはビットセットを指定します。 [コード ポイント(Code Point)]:6 ビットの DSCP コード ポイント値を入力します。 |
メーカー希望小売価格 | |
MSRPC を有効にする |
チェックボックスをオンにして、MSRPCを有効にします。 あるホストで実行されているプログラムが、別のホストで実行されているプログラムのプロシージャを呼び出すためのメソッドを提供します。RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポートアドレスは、サービス プログラムの Universal Unique IDentifier (UUID) に基づいて動的にネゴシエートされます。特定の UUID はトランスポートアドレスにマップされます。 |
最大グループ使用率 (%) |
グループ使用率を 10% から 100% の範囲で選択します。 |
マップ エントリ タイムアウト(分) |
マップ・エントリー・タイムアウト・セッションを 5 分から 4320 分まで選択します。 |
SCCPの | |
SCCP の有効化 |
このチェックボックスをオンにすると、Skinny Client Control Protocol が有効になります。 |
非アクティブなメディアのタイムアウト |
10 秒から 600 秒までの値を選択します。 グループ内にメディア(RTP または RTCP)トラフィックがない場合に、コールがアクティブな状態を維持できる最大時間(秒)を示します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブな期間がこの設定を超えると、メディアに対して開かれたゲートが閉じられます。 |
アプリケーション画面 |
[コール フラッドしきい値(Call Flood Threshold)]:2 から 1,000 までの値を選択します。 処理しようとするコールの数を制限することで、SCCP ALG クライアントをフラッド攻撃から保護します。 |
不明なメッセージの受信時のアクション |
|
DSCP コードの書き換え |
[コード ポイント(Code Point)]:6 ビットの DSCP コード ポイント値を入力します。 |
一口 | |
SIPを有効にする |
チェックボックスをオンにして、Session Initiation Protocol(SIP)を有効にします。 |
リソースの保持を有効にする |
このチェックボックスをオンにすると、メディアストリームが保留状態になっている場合でも、デバイスがSIPのメディアリソースを解放するかどうかが有効になります。 既定では、メディア ストリーム リソースは、メディア ストリームが保持されると解放されます。 |
最大通話時間(Maximum Call Duration) |
3 分から 720 分までの値を選択します。 コールの絶対最大長を設定します。コールがこのパラメーター設定を超えると、SIP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分で、範囲は 3 〜 720 分です。 |
C タイムアウト |
3 分から 10 分までの値を選択します。 プロキシでの INVITE トランザクションのタイムアウトを分単位で指定します。既定値は 3 です。SIP ALG は中間にあるため、INVITE トランザクション タイマー値 B((64 * T1) = 32 秒)を使用する代わりに、SIP ALG はプロキシからタイマー値を取得します。 |
T4インターバル |
5 秒から 10 秒までの値を選択します。 メッセージがネットワークに残る最大時間を指定します。デフォルトは 5 秒です。範囲は 5 秒から 10 秒です。多くのSIPタイマーはT4-Interval(RFC 3261で説明されているように)でスケーリングされるため、T4-Intervalタイマーの値を変更すると、それらのSIPタイマーも調整されます。 |
非アクティブなメディアのタイムアウト |
10 秒から 2,550 秒までの値を選択します。 グループ内にメディア(RTP または RTCP)トラフィックがなくても、コールがアクティブな状態を維持できる最大時間(秒単位)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブな期間がこの設定を超えると、メディア用に開かれたファイアウォール SIP ALG の一時的な開口部 (ピンホール) が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒です。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除される一方で、コールは終了しないことに注意してください。 |
T1インターバル |
500 ミリ秒から 5000 ミリ秒までの値を選択します。 エンドポイント間のトランザクションのラウンドトリップ時間の見積もりを秒単位で指定します。デフォルトは 500 ミリ秒です。多くの SIP タイマーは(RFC 3261 を参照)T1-Interval でスケーリングされるため、T1-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。 |
アプリケーション画面 |
不明なメッセージを受信したときのアクション:
|
保護オプション |
|
DSCP コードの書き換え |
[コード ポイント(Code Point)]:6 ビットの DSCP コード ポイント値を入力します。 |
SUNRPCの | |
SUNRPC を有効にする |
チェックボックスをオンにして、SUNRPCを有効にします。 RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPCプログラム番号とバージョン番号をトランスポートアドレスにマッピングするために、いくつかのバインディングプロトコルが定義されています。 |
最大グループ使用率 (%) |
最大グループ使用率 (%) を 10 から 100% の間で選択します。 |
マップ エントリ タイムアウト |
マップ・エントリー・タイムアウト・セッションを 5 分から 4320 分まで選択します。 |