Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ALGページについて

You are here: セキュリティ サービス > ALG.

このページを使用して、アプリケーション層ゲートウェイ(ALG)を設定します。

フィールドの説明

表 1 は、ALG ページのフィールドを説明しています。

設定が完了したら、「 OK 」をクリックして変更を保存するか、「 リセット 」をクリックして変更を元に戻します。

表 1: ALG ページのフィールド

形容

メイン

PPTPを有効にする

チェックボックスをオンにすると、ALGのポイントツーポイントトンネリングプロトコル(PPTP)が有効になります。

PPTP は、TCP/IP ネットワーク間で PPP データをトンネリングするレイヤー 2 プロトコルです。PPTPクライアントは、Windowsシステムで無料で利用でき、VPNを構築するために広く導入されています。

RSH を有効にする

チェックボックスをオンにすると、ALG の RSH が有効になります。

RSH ALG は、ポート 514 宛ての TCP パケットを処理し、RSH port コマンドを処理します。RSH ALG は、port コマンドでポートで NAT を実行し、必要に応じてゲートを開きます。

RTSP を有効にする

チェックボックスをオンにして、ALGのリアルタイムストリーミングプロトコル(RTSP)を有効にします。

SQLを有効にする

チェックボックスをオンにすると、ALGの構造化照会言語(SQL)が有効になります。

SQLNET ALG は、サーバー側から SQL TNS 応答フレームを処理します。パケットを解析し、(HOST=ipaddress)、(PORT=port)パターンを検索し、TCPデータチャネルのクライアント側でNATとゲートオープンを実行します。

TALKを有効にする

チェックボックスをオンにして、ALGのTALKプロトコルを有効にします。

TALK プロトコルは、制御チャネル接続に UDP ポート 517 とポート 518 を使用します。トークプログラムは、サーバとクライアントから構成されます。サーバーはクライアント通知を処理し、トークセッションの確立を支援します。トークサーバには ntalk と talkd の 2 種類があります。TALK ALG は、ntalk 形式と talkd 形式の両方のパケットを処理します。また、必要に応じてNATやゲート開放も行います。

TFTPを有効にする

チェックボックスをオンにすると、ALGのTFTP(簡易ファイル転送プロトコル)が有効になります。

TFTP ALGは、要求を開始するTFTPパケットを処理し、ゲートを開いて、逆方向から要求を送信するポートへのパケットの戻りを許可します。

DNS

DNS を有効にする

チェックボックスをオンにして、ALGのドメインネームシステム(DNS)を有効にします。

DNS ALG は DNS クエリと応答パケットを監視し、DNS フラグがパケットが応答メッセージであることを示している場合はセッションを閉じます。

改ざん

次のいずれかのオプションを選択します。

  • サニティチェック—DNS ALGサニティチェックのみを実行します。

  • [なし(None)]:すべての DNS ALG ドクターを無効にします。

最大メッセージ長

数値を選択して、DNS メッセージの最大長を指定します。

範囲: 512 から 8192 バイト。

[オーバーサイズ メッセージ ドロップ] を有効にします。

チェックボックスをオンにすると、特大メッセージのドロップが有効になります。

FTP

FTP を有効にする

チェックボックスをオンにして、ALGのファイル転送プロトコル(FTP)を有効にします。

FTP ALG は、PORT、PASV、および 227 コマンドを監視します。必要に応じて、メッセージ内のIP/ポートで NAT(ネットワークアドレス変換)を実行し、デバイスのゲート開口部を確認します。FTP ALG は、FTP put および FTP get コマンドのブロッキングをサポートしています。ポリシーで FTP_NO_PUT または FTP_NO_GET が設定されている場合、FTP ALG はブロッキング コマンドを送り返し、FTP STOR または FTP RETR コマンドを検出すると、関連する開いているゲートを閉じます。

不一致のIPアドレスを許可するを有効にします

このチェックボックスをオンにすると、IP アドレスの不一致が許可されます。

FTPs 拡張機能を有効にする

このチェックボックスをオンにすると、セキュアFTPおよびFTP SSLプロトコルが有効になります。

改行の延長を有効にする

チェックボックスをオンにして、line-break-extension を有効にします。

このオプションを使用すると、FTP ALG は、標準の CR + LF (キャリッジ リターンとその後のライン フィード) に加えて、LF を改行として認識できます。

H323-J

H323 を有効にする

チェックボックスをオンにして、H.323 ALG を有効にします。

アプリケーション画面

H.323プロトコルALGのセキュリティ画面を指定します。

次の詳細を入力します。

  • [メッセージ フラッド ゲートキーパーしきい値(Message Flood Gatekeeper Threshold)]:値を入力します。値の範囲は、1 秒あたり 1 から 50000 メッセージです。

    ゲートキーパーへのリモートアクセスサーバー(RAS)要求が処理される秒あたりのレートを制限します。しきい値を超えるメッセージは破棄されます。この機能はデフォルトで無効になっています。

  • 不明なメッセージを受信した場合のアクション:

    • [NAT 適用の許可を有効にする(Enable Permit NAT Applied)]:このチェックボックスをオンにして、未識別の H.323(サポート対象外)メッセージをデバイスがどのように処理するかを指定します。

      デフォルトでは、不明なメッセージはドロップされます。不明なメッセージを許可すると、セキュリティが損なわれる可能性があるため、推奨されません。ただし、セキュアなテスト環境や本番環境では、このステートメントは異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明な H.323 メッセージを許可することで、ネットワークを運用可能にし、後で VoIP トラフィックを分析して、一部のメッセージがドロップされた理由を特定できます。

      このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットが識別できない場合、そのパケットは常に破棄されます。パケットがサポートされているプロトコルとして識別された場合、メッセージは処理されずに転送されます。

    • [Enable Permit Routed]:このチェックボックスをオンにして、セッションがルートモードの場合に不明なメッセージの通過を許可することを指定します。

      透過モードのセッションは、ルートモードであるかのように扱われます。

DSCP コードの書き換え

[コード ポイント] - リストから 6 ビット文字列を選択します。

VoIP ALG(Voice over IP アプリケーション層ゲートウェイ)を通過するトラフィックの書き換えルールを指定します。コードポイントの値はバイナリ形式です。

VoIP書き換えルールは、輻輳したネットワークのVoIP品質を向上させる差別化されたサービスコードポイント(DSCP)メカニズムを介して、発信パケット内の適切なサービスクラス(CoS)ビットを変更します。

エンドポイント

次の詳細を入力します。

  • [エンドポイントのタイムアウト(Timeout For Endpoint)]:NAT テーブル内のエントリのタイムアウト値を秒単位で入力します。

    範囲: 10 秒から 50,000 秒

    NAT テーブルのエントリーの期間を制御します。

  • [任意の送信元ポートからのメディアを許可する(Enable Permit Media From Any )—任意のポート番号からのメディア トラフィックを許可するには、このオプションを選択します。

IKE-ESP

IKE-ESP の有効化

チェックボックスをオンにして、IKE-ESP を有効にします。

ESP ゲート タイムアウト (秒)

ゲートのタイムアウトを 2 秒から 30 秒の間で選択します。

ESP セッション タイムアウト (秒)

ESP タイムアウト セッションを 60 秒から 2400 秒の間で選択します。

ALG 状態タイムアウト(秒)

ALG 状態のタイムアウトを 180 秒から 86400 秒の間で選択します。

MGCP

MGCP の有効化

このチェックボックスをオンにすると、Media Gateway Control Protocol(MGCP)が有効になります。

非アクティブなメディアのタイムアウト

アクティビティが検出されない場合に、ファイアウォールの一時的な開口部(ピンホール)がメディアに対して開いたままになる最大時間を指定する値を選択します。範囲は 10 から 2,550 秒からです。

グループ内にメディア(RTP または RTCP)トラフィックがなくても、コールがアクティブな状態を維持できる最大時間(秒単位)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブな期間がこの設定を超えると、メディア用に開かれているファイアウォール MGCP ALG の一時的な開口部(ピンホール)が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒からです。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除される一方で、コールは終了しないことに注意してください。

最大通話時間(Maximum Call Duration)

3 分から 720 分までの値を選択します。

コールの最大長を設定します。コールがこのパラメータ設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分です。範囲は 3 から 720 分からです。

トランザクションのタイムアウト

3 秒から 50 秒までの値を入力して指定します

MGCP トランザクションのタイムアウト値を指定します。トランザクションは、ゲートウェイからコール エージェントへの NTFY や、コール エージェントからゲートウェイへの 200 OK などのシグナリング メッセージです。デバイスはこれらのトランザクションを追跡し、タイムアウトするとクリアします。

アプリケーション画面

次の詳細を入力します。

  • [メッセージ フラッドしきい値(Message Flood Threshold)]:メディア ゲートウェイごとに 2 秒から 50,000 秒までの値を入力します。

    メディア ゲートウェイへのメッセージ要求が処理される速度/秒を制限します。しきい値を超えるメッセージは、メディア ゲートウェイ制御プロトコル(MGCP)によって破棄されます。この機能はデフォルトで無効になっています。

  • [接続フラッディングしきい値(Connection Flood Threshold)]:2 から 10,000 までの値を入力します。

    メディアゲートウェイ(MG)ごとに許可される新しい接続要求の数を毎秒制限します。ALG を超えるメッセージ。

  • [不明メッセージ受信時のアクション(Action On Receiving Unknown Message)]:次のいずれかを入力します。

    • [NAT の適用を許可(Enable Permit NAT Applied)]:このチェックボックスをオンにして、ジュニパーネットワークス デバイスによる未識別の MGCP メッセージの処理方法を指定します。

      デフォルトでは、不明な(サポートされていない)メッセージはドロップされます。不明なメッセージを許可すると、セキュリティが損なわれる可能性があるため、推奨されません。ただし、セキュアなテスト環境や本番環境では、このステートメントは異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明なMGCP(サポート対象外)メッセージを許可することで、ネットワークを動作可能にし、後でVoIPトラフィックを分析して、一部のメッセージがドロップされた理由を判断できます。

    • [Enable Permit Routed]:チェックボックスをオンにします。

      セッションが経路モードの場合に不明なメッセージの通過を許可することを指定します。(透過モードのセッションは、ルートモードとして扱われます)。

DSCP コードの書き換え

書き換えルールの転送クラスに適用するコードポイントエイリアスまたはビットセットを指定します。

[コード ポイント(Code Point)]:6 ビットの DSCP コード ポイント値を入力します。

メーカー希望小売価格

MSRPC を有効にする

チェックボックスをオンにして、MSRPCを有効にします。

あるホストで実行されているプログラムが、別のホストで実行されているプログラムのプロシージャを呼び出すためのメソッドを提供します。RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポートアドレスは、サービス プログラムの Universal Unique IDentifier (UUID) に基づいて動的にネゴシエートされます。特定の UUID はトランスポートアドレスにマップされます。

最大グループ使用率 (%)

グループ使用率を 10% から 100% の範囲で選択します。

マップ エントリ タイムアウト(分)

マップ・エントリー・タイムアウト・セッションを 5 分から 4320 分まで選択します。

SCCPの

SCCP の有効化

このチェックボックスをオンにすると、Skinny Client Control Protocol が有効になります。

非アクティブなメディアのタイムアウト

10 秒から 600 秒までの値を選択します。

グループ内にメディア(RTP または RTCP)トラフィックがない場合に、コールがアクティブな状態を維持できる最大時間(秒)を示します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブな期間がこの設定を超えると、メディアに対して開かれたゲートが閉じられます。

アプリケーション画面

[コール フラッドしきい値(Call Flood Threshold)]:2 から 1,000 までの値を選択します。

処理しようとするコールの数を制限することで、SCCP ALG クライアントをフラッド攻撃から保護します。

不明なメッセージの受信時のアクション

  • [Enable Permit NAT Applied]:チェックボックスをオンにします。

    未識別の SCCP メッセージをデバイスがどのように処理するかを指定します。デフォルトでは、不明な(サポートされていない)メッセージはドロップされます。不明なメッセージを許可すると、セキュリティが損なわれる可能性があるため、推奨されません。ただし、セキュアなテスト環境や本番環境では、このステートメントは異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明な SCCP(サポートされていない)メッセージを許可することで、ネットワークを動作させ、後で VoIP トラフィックを分析して、一部のメッセージがドロップされた理由を判断できます。

    このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットが識別できない場合、そのパケットは常に破棄されます。パケットがサポートされているプロトコルとして識別された場合、メッセージは処理されずに転送されます。

  • [Enable Permit Routed]:チェックボックスをオンにします。

    セッションが経路モードの場合に不明なメッセージの通過を許可することを指定します。(透過モードのセッションは、ルートモードであるかのように扱われます)。

DSCP コードの書き換え

[コード ポイント(Code Point)]:6 ビットの DSCP コード ポイント値を入力します。

一口

SIPを有効にする

チェックボックスをオンにして、Session Initiation Protocol(SIP)を有効にします。

リソースの保持を有効にする

このチェックボックスをオンにすると、メディアストリームが保留状態になっている場合でも、デバイスがSIPのメディアリソースを解放するかどうかが有効になります。

既定では、メディア ストリーム リソースは、メディア ストリームが保持されると解放されます。

最大通話時間(Maximum Call Duration)

3 分から 720 分までの値を選択します。

コールの絶対最大長を設定します。コールがこのパラメーター設定を超えると、SIP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分で、範囲は 3 〜 720 分です。

C タイムアウト

3 分から 10 分までの値を選択します。

プロキシでの INVITE トランザクションのタイムアウトを分単位で指定します。既定値は 3 です。SIP ALG は中間にあるため、INVITE トランザクション タイマー値 B((64 * T1) = 32 秒)を使用する代わりに、SIP ALG はプロキシからタイマー値を取得します。

T4インターバル

5 秒から 10 秒までの値を選択します。

メッセージがネットワークに残る最大時間を指定します。デフォルトは 5 秒です。範囲は 5 秒から 10 秒です。多くのSIPタイマーはT4-Interval(RFC 3261で説明されているように)でスケーリングされるため、T4-Intervalタイマーの値を変更すると、それらのSIPタイマーも調整されます。

非アクティブなメディアのタイムアウト

10 秒から 2,550 秒までの値を選択します。

グループ内にメディア(RTP または RTCP)トラフィックがなくても、コールがアクティブな状態を維持できる最大時間(秒単位)を指定します。コール内で RTP または RTCP パケットが発生するたびに、このタイムアウトはリセットされます。非アクティブな期間がこの設定を超えると、メディア用に開かれたファイアウォール SIP ALG の一時的な開口部 (ピンホール) が閉じられます。デフォルト設定は 120 秒です。範囲は 10 から 2550 秒です。タイムアウト時に、メディアのリソース(セッションとピンホール)が削除される一方で、コールは終了しないことに注意してください。

T1インターバル

500 ミリ秒から 5000 ミリ秒までの値を選択します。

エンドポイント間のトランザクションのラウンドトリップ時間の見積もりを秒単位で指定します。デフォルトは 500 ミリ秒です。多くの SIP タイマーは(RFC 3261 を参照)T1-Interval でスケーリングされるため、T1-Interval タイマーの値を変更すると、これらの SIP タイマーも調整されます。

アプリケーション画面

不明なメッセージを受信したときのアクション:

  • [NAT 適用の許可を有効にする(Enable Permit NAT Applied)]:このチェックボックスをオンにすると、デバイスによる未識別の SIP メッセージの処理が有効になります。

    このステートメントは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されます。パケットが識別できない場合、そのパケットは常に破棄されます。パケットがサポートされているプロトコルとして識別された場合、メッセージは処理されずに転送されます。

  • [Enable Permit Routed]:セッションがルートモードの場合、不明なメッセージの通過を許可するチェックボックスをオンにします。(透過モードのセッションは、ルートモードとして扱われます)。

保護オプション

  • [SIP Invite Attack Table Entry Timeout]:1 〜 3,600 秒の値を入力します。

    アプリケーション画面にリストされる各 INVITE の攻撃テーブルエントリを作成する時間 (秒単位) を指定します。

  • [攻撃防御の有効化(Enable Attack Protection)]:[すべてのサーバ(All Servers)]、[選択したサーバ(Selected Servers)]、または [なし(None)] のいずれかのオプションを選択します。

    INVITE攻撃からサーバーを保護します。一部またはすべての宛先 IP アドレスでサーバーを INVITE 攻撃から保護するように、SIP アプリケーション画面を構成します。

    [選択したサーバー] を選択したら、IP アドレスを入力して [+] をクリックします。IP アドレスを選択し、[ X ] をクリックして削除できます。

DSCP コードの書き換え

[コード ポイント(Code Point)]:6 ビットの DSCP コード ポイント値を入力します。

SUNRPCの

SUNRPC を有効にする

チェックボックスをオンにして、SUNRPCを有効にします。

RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPCプログラム番号とバージョン番号をトランスポートアドレスにマッピングするために、いくつかのバインディングプロトコルが定義されています。

最大グループ使用率 (%)

最大グループ使用率 (%) を 10 から 100% の間で選択します。

マップ エントリ タイムアウト

マップ・エントリー・タイムアウト・セッションを 5 分から 4320 分まで選択します。