ALG 개요
ALG 설명
이 주제에서는 Junos OS가 지원하는 애플리케이션 레이어 게이트웨이(ALG)에 대해 설명합니다. ALG 지원에는 지원되는 ALG에 대한 핀홀 및 상위-하위 관계 관리가 포함됩니다.
지원 ALG
표 1 에는 Junos OS에서 지원하는 ALG가 나와 있습니다. MS-DPC, MS-MPC, MS-MIC에서 지원되는 ALG에 대한 자세한 내용은 Junos OS 주소 인식 NAT에 사용할 수 있는 ALG를 참조하십시오.
지원되는 ALG |
버전 4 - 버전 4 |
버전 6 - 버전 4 |
v6 - v6 |
DS-LITE(MS-MPC 및 MS-MIC에서 DS-lite를 사용하는 ALG에 대한 지원은 Junos OS 릴리스 18.1R1에서 시작됩니다) |
|---|---|---|---|---|
기본 TCP ALG |
예 |
예 |
예 |
예 |
기본 UPD ALG |
예 |
예 |
예 |
예 |
BOOTP (영문) |
예 |
아니요 |
아니요 |
아니요 |
DCE RPC 서비스 |
예 |
아니요 |
아니요 |
아니요 |
DNS (에스엔에스 |
예 |
예 |
아니요 |
예 |
증권 시세 표시기 |
예 |
예(Junos OS 릴리스 14.1R1부터 시작) |
아니요 |
예 |
게이트키퍼 RAS |
예(Junos OS 릴리스 17.1R1부터) |
예(Junos OS 릴리스 17.2R1부터 시작) |
아니요 |
아니요 |
H323 시리즈 |
예 |
예(Junos OS 릴리스 17.2R1부터 시작) |
아니요 |
아니요 |
ICMP (영문) |
예 |
예 |
예 |
예 |
IKE(Internet Key Exchange) ALG(Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1에서 시작) |
예 |
예 |
아니요 |
아니요 |
IIOP (IIOP) |
예 |
아니요 |
아니요 |
아니요 |
지적재산권 |
예 |
아니요 |
아니요 |
아니요 |
넷비오스 |
예 |
아니요 |
아니요 |
아니요 |
넷쇼 |
예 |
아니요 |
아니요 |
아니요 |
PPTP (영문) |
예 |
예(Junos OS 릴리스 14.1R1부터 시작) |
아니요 |
예 |
리얼오디오 |
예 |
아니요 |
아니요 |
아니요 |
Sun RPC 및 RPC 포트 맵 서비스 |
예 |
아니요 |
아니요 |
아니요 |
증권 시세 표시기 |
예 |
예(Junos OS 릴리스 14.1R1부터 시작) |
아니요 |
예 |
SIP |
예 |
예(Junos OS 릴리스 14.1R1부터 시작) |
아니요 |
Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC에서 DS-Lite에 대해 SIP가 지원됩니다. |
증권 시세 표시기 |
예 |
아니요 |
아니요 |
아니요 |
SQLNET |
예 |
아니요 |
아니요 |
아니요 |
TFTP (TFTP) |
예 |
예(Junos OS 릴리스 14.1R1부터 시작) |
아니요 |
예 |
트레이스라우트 |
예 |
예 |
아니요 |
예 |
Unix 원격 셸 서비스 |
예 |
아니요 |
아니요 |
아니요 |
WIN프레임 |
예 |
아니요 |
아니요 |
아니요 |
ALG 지원 세부 정보
이 섹션에는 ALG에 대한 세부 정보가 포함되어 있습니다. 여기에는 다음이 포함됩니다.
- 기본 TCP ALG
- 기본 UDP ALG
- BOOTP (영문)
- DCE RPC 서비스
- DNS (에스엔에스
- 증권 시세 표시기
- 게이트키퍼 RAS
- H323 시리즈
- ICMP (영문)
- IIOP (IIOP)
- IKE(Internet Key Exchange) ALG
- 지적재산권
- 넷BIOS
- 넷쇼(NetShow)
- ONC RPC 서비스
- PPTP (영문)
- 리얼오디오
- Sun RPC 및 RPC 포트맵 서비스
- 증권 시세 표시기
- SIP
- 증권 시세 표시기
- SQLNet
- TFTP (TFTP)
- 트레이스라우트
- UNIX Remote-Shell 서비스
- 윈프레임(WinFrame)
기본 TCP ALG
이 ALG는 TCP 패킷에 대한 기본적인 온전성 검사를 수행합니다. 오류가 발견되면 다음과 같은 이상 이벤트 및 시스템 로그 메시지를 생성합니다.
TCP 원본 또는 대상 포트 0
TCP 헤더 길이 검사 실패
TCP 시퀀스 번호가 0이고 플래그가 설정되지 않았습니다
TCP 시퀀스 번호 0 및 FIN/PSH/RST 플래그가 설정됩니다
TCP FIN/RST 또는 SYN(URG|핀|RST) 플래그가 설정됩니다
TCP ALG는 다음 단계를 수행합니다.
라우터가 SYN 패킷을 수신하면 ALG는 TCP 순방향 및 역방향 플로우를 생성하고 대화에서 그룹화합니다. TCP 3방향 핸드셰이크를 추적합니다.
SYN 방어 메커니즘은 TCP 연결 설정 상태를 추적합니다. TCP 세션이 짧은 시간 간격(현재 4초) 이내에 설정될 것으로 예상합니다. 이 기간 내에 TCP 3방향 핸드셰이크가 설정되지 않으면 세션이 종료됩니다.
Keepalive 메커니즘은 응답하지 않는 엔드포인트가 있는 TCP 세션을 감지합니다.
ICMP 오류는 플로우가 ICMP 데이터에 지정된 선택기 정보와 일치하는 경우에만 허용됩니다.
기본 UDP ALG
이 ALG는 UDP 헤더에 대한 기본적인 온전성 검사를 수행합니다. 오류가 발견되면 다음과 같은 이상 이벤트 및 시스템 로그 메시지를 생성합니다.
UDP 원본 또는 대상 포트 0
UDP 헤더 길이 확인 실패
UDP ALG는 다음 단계를 수행합니다.
첫 번째 패킷을 수신하면 ALG는 양방향 플로우를 생성하여 순방향 및 역방향 UDP 세션 트래픽을 허용합니다.
세션이 허용되는 최대 유휴 시간(기본값은 30초)을 초과하여 유휴 상태이면 흐름이 삭제됩니다.
ICMP 오류는 플로우가 ICMP 데이터에 지정된 선택기 정보와 일치하는 경우에만 허용됩니다.
BOOTP (영문)
부트스트랩 프로토콜(BOOTP) 클라이언트는 네트워크를 통해 서버에서 네트워킹 정보를 검색합니다. 일반 브로드캐스트 메시지를 보내 정보를 요청하면 BOOTP 서버에서 이 정보를 반환합니다. 프로토콜 사양은 을 참조하십시오 ftp://ftp.isi.edu/in-notes/rfc951.txt.
스테이트풀 방화벽을 지원하려면 UDP 서버 포트 67 및 클라이언트 포트 68에서 BOOTP ALG를 구성해야 합니다. 클라이언트가 브로드캐스트 메시지를 보내는 경우 서비스 규칙의 문에서 from 브로드캐스트 주소를 구성해야 합니다. NAT(네트워크 주소 변환)는 NAT 규칙이 트래픽과 일치하더라도 BOOTP 트래픽에 대해 수행되지 않습니다. 라우터에서 BOOTP 릴레이 기능이 활성화된 경우 원격 BOOTP 서버는 NAT 변환에 의해 마스킹된 클라이언트에 주소를 할당하는 것으로 간주됩니다.
DCE RPC 서비스
DCE(분산 컴퓨팅 환경) RPC(원격 프로시저 호출) 서비스는 주로 Microsoft 애플리케이션에서 사용됩니다. ALG는 포트 매핑 서비스를 위해 잘 알려진 TCP 포트 135를 사용하며, 프로그램 번호 대신 UUID(universal unique identifier)를 사용하여 프로토콜을 식별합니다. 주요 응용 프로그램 기반 DCE RPC는 Microsoft Exchange 프로토콜입니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 135에서 DCE RPC 포트맵 ALG를 구성해야 합니다. DCE RPC ALG는 애플리케이션별 UUID와 함께 TCP 프로토콜을 사용합니다.
DNS (에스엔에스
일반적으로 포트 53에서 실행되는 DNS(Domain Name System)는 도메인 이름 찾기 및 IP 주소로 변환하는 것과 관련된 데이터를 처리합니다. MX 시리즈 DNS ALG는 DNS 쿼리 및 응답 패킷을 모니터링하고 UDP 및 TCP DNS 트래픽을 독립적으로 지원합니다. DNS ALG는 NAT에 대한 페이로드 변환을 지원하지 않지만, 운영자는 DNS 서버가 응답을 보낸 후 이를 사용하여 메모리에서 NAT 또는 상태 저장 방화벽 DNS 세션을 효율적으로 제거할 수 있습니다. DNS ALG는 회신이 수신되거나 유휴 시간 초과에 도달한 경우에만 세션을 닫습니다.
DNS 트래픽이 표준 요청 및 응답 유형이 아닌 경우 TCP-DNS-ALG를 사용할 때 TCP DNS 트래픽에 문제가 있을 수 있습니다. 예를 들어 TCP-DNS-ALG는 DNS 복제 또는 영역 전송과 같이 TCP를 사용하는 DNS 서버 간 통신을 중단할 수 있습니다. TCP 핸드셰이크가 완료된 후 각 서버가 하나의 패킷을 다른 서버로 전송한 후에 TCP-DNS-ALG가 세션을 닫기 때문에 이러한 유형의 트래픽은 NAT 또는 스테이트풀 방화벽 플러그인에 의해 누락될 수 있습니다. 이러한 인스턴스에서는 TCP-DNS-ALG를 사용하지 마십시오.
TCP-DNS-ALG는 MS-DPC 서비스 카드에서 지원되지 않습니다.
증권 시세 표시기
FTP는 RFC 959에 지정된 파일 전송 프로토콜입니다. 기본 제어 연결 외에도 클라이언트와 서버 간의 데이터 전송을 위한 데이터 연결도 이루어집니다. 호스트, 포트 및 방향은 제어 채널을 통해 협상됩니다.
비패시브 모드 FTP의 경우, Junos OS 스테이트풀 방화벽 서비스는 클라이언트가 연결하는 IP 주소와 포트 번호를 제공하는 PORT 명령에 대한 클라이언트-서버 애플리케이션 데이터를 스캔합니다. 패시브 모드 FTP의 경우, Junos OS 스테이트풀 방화벽 서비스는 PASV 명령에 대한 클라이언트-서버 애플리케이션 데이터를 스캔한 다음 클라이언트가 연결하는 IP 주소와 포트 번호가 포함된 227 응답에 대한 서버-클라이언트 응답을 스캔합니다.
FTP는 이러한 주소와 포트 번호를 ASCII로 나타냅니다. 따라서 주소 및 포트를 다시 쓸 때 TCP 시퀀스 번호가 변경될 수 있으며, 그 후 NAT 서비스는 모든 후속 패킷에서 시퀀스 NAT를 수행하여 SEQ 및 ACK 번호에서 이 델타를 유지 관리해야 합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 21에서 FTP ALG를 구성하여 FTP 제어 프로토콜을 활성화해야 합니다. ALG는 다음 작업을 수행합니다.
동적 데이터 연결을 위한 데이터 포트 및 방화벽 권한 자동 할당
동적으로 협상된 데이터 연결을 위한 흐름을 만듭니다.
액티브 및 패시브 모드에서 제어 연결을 모니터링합니다.
적절한 네트워크 주소 변환(NAT) 주소 및 포트 정보를 사용하여 제어 패킷을 재작성합니다
MS-MPC, MS-MIC에서 FTP ALG(Application Layer Gateway)를 활성화하지 않고 패시브 FTP가 제대로 작동하려면(및 [edit services nat rule rule-name term term-name from] 계층 수준에서 문을 [edit services stateful-firewall rule rule-name term term-name from] 지정하지 않음으로써) APP(Address Pooling Paired) 기능이 활성화되도록 해야 합니다(계층 수준에서 문을 [edit services nat rule rule-name term term-name then translated] 포함 address-pooling application junos-ftp 하여). 이러한 구성으로 인해 데이터 및 제어 FTP 세션이 동일한 네트워크 주소 변환(NAT) 주소를 수신합니다.
게이트키퍼 RAS
Junos OS 릴리스 17.1R1부터 게이트키퍼 등록, 관리 및 상태(RAS) ALG를 통해 H.323 통화에 대해 게이트키퍼 모드를 완벽하게 지원할 수 있습니다. 엔드포인트는 게이트키퍼에 등록하고 관리를 요청합니다. 전화를 걸기 전에 엔드포인트는 게이트키퍼에게 전화를 걸 수 있는 권한을 요청합니다. 등록 및 승인 단계 모두에서 RAS 채널이 사용됩니다. IPv4 및 IPv6 스테이트풀 방화벽 규칙 또는 NAPT-44 규칙에서 게이트키퍼 RAS ALG 및 H323 ALG를 사용합니다. Junos OS 릴리스 17.2R1부터는 NAT-64 규칙도 지원됩니다. Junos 기본 애플리케이션 세트 junos-h323-suite 에는 H323 ALG와 게이트키퍼 RAS ALG가 포함되어 있습니다.
H323 시리즈
H323은 오디오 및 비디오 회의 및 협업 애플리케이션을 위한 ITU 프로토콜 제품군입니다. H323은 미디어 통신을 위한 H.225 통화 신호 프로토콜과 H.245 제어 프로토콜로 구성됩니다. H.225 협상 중에 엔드포인트는 제어 채널에서 통화 신호 메시지를 교환하여 통화를 생성하고 H.245에 대한 새 제어 채널을 협상합니다. H.245 메시지에 대해 새 제어 연결이 생성됩니다. 메시지는 H.245 제어 채널에서 미디어 채널을 열기 위해 교환됩니다.
스테이트풀 방화벽은 H.225 제어 채널을 모니터링하여 H.245 제어 채널을 엽니다. H.245 채널이 만들어지면 상태 저장 방화벽은 이 채널에서 미디어 채널 정보도 모니터링하고 방화벽을 통한 미디어 트래픽을 허용합니다.
H323 ALG는 H.225 및 H.245 메시지에서 적절한 주소와 포트를 재작성하여 정적 목적지, 정적 및 동적 소스 NAT를 지원합니다.
H.323 통화에 대해 게이트키퍼 모드를 지원하려면 IPv4 및 IPv6 스테이트풀 방화벽 규칙 또는 NAPT-44 규칙에서 H323 ALG 및 게이트키퍼 RAS ALG를 사용합니다. Junos OS 릴리스 17.2R1부터는 NAT-64 규칙도 지원됩니다. Junos 기본 애플리케이션 세트 junos-h323-suite 에는 H323 ALG와 게이트키퍼 RAS ALG가 포함되어 있습니다.
ICMP (영문)
ICMP(Internet Control Message Protocol)는 RFC 792에 정의되어 있습니다. Junos OS 스테이트풀 방화벽 서비스를 사용하면 ICMP 메시지를 특정 유형 또는 특정 유형 코드 값으로 필터링할 수 있습니다. 구체적으로 구성된 유형 및 코드가 없는 ICMP 오류 패킷은 오류 패킷의 적법성을 확인하기 위해 반대 방향의 기존 흐름과 일치합니다. 일치하는 필터를 통과한 ICMP 오류 패킷은 NAT 변환의 적용을 받습니다.
ICMP ALG는 항상 ICMP 시퀀스 번호를 사용하여 ping 트래픽을 스테이트풀(stateful)로 추적합니다. 각 에코 응답은 해당 시퀀스 번호가 있는 에코 요청이 있는 경우에만 전달됩니다. 모든 ping 플로우의 경우, 에코 응답을 수신하지 않고 20개의 에코 요청만 전달할 수 있습니다. 동적 네트워크 주소 변환(NAT)을 구성할 때, 네트워크 주소 변환(NAT) 풀의 추가 호스트가 동일한 식별자를 사용할 수 있도록 PING 패킷 식별자가 변환됩니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 프로토콜이 필요한 경우 ICMP ALG를 구성해야 합니다. 추가 필터링을 위해 ICMP 유형 및 코드를 구성할 수 있습니다.
IIOP (IIOP)
Oracle Application Server Name Server IIOP(Internet Inter-ORB Protocol)입니다. 이 ALG는 분산 컴퓨팅을 기반으로 하는 CORBA(Common Object Request Broker Architecture)에서 사용됩니다. CORBA 및 IIOP는 OMG(Object Management Group) 표준이지만 IIOP에 대해 고정 포트가 지정되지 않습니다. CORBA를 구현하는 각 벤더는 포트를 선택합니다. JVM(Java Virtual Machine)은 기본적으로 포트 1975를 사용하는 반면 ORBIX는 포트 3075를 기본값으로 사용합니다.
스테이트풀 방화벽 및 NAT를 사용하려면 Java VM IIOP의 경우 TCP 포트 1975, CORBA 애플리케이션의 경우 3075(Iona Technologies의 CORBA 프레임워크)에 대해 ALG IIOP를 구성해야 합니다.
IKE(Internet Key Exchange) ALG
Junos OS 릴리스 17.4R1 이전에는 MX 시리즈 라우터의 Junos VPN Site Secure IPsec 기능 제품군에 대해 NAT-T(네트워크 주소 변환-Traversal)가 지원되지 않습니다. Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터 IKE ALG를 사용하면 NAT-T를 준수하지 않는 IPsec 피어 간에 NAPT-44 및 NAT64 규칙을 통해 IKEv1 및 IPsec 패킷을 전달할 수 있습니다. 이 ALG는 ESP 터널 모드만 지원합니다.
NAT 규칙에서 이 ALG를 사용하고 UDP 프로토콜 및 포트 500을 지정합니다.
이 ALG는 다음을 수행합니다.
IKEv1 연결 시작 요청을 추적하여 NAT 처리가 필요한지 여부를 확인합니다.
발신 및 수신 IKEv1 요청에 대해 NAT 변환을 수행하고 IKE 세션을 생성합니다.
설정된 IKE 세션과 관련된 IPsec 패킷을 식별하고 피어 간의 보안 연결을 설정합니다.
IPsec 패킷에서 NAT 변환을 수행합니다.
지적재산권
IP ALG는 단방향 플로우를 생성하는 데만 사용됩니다. TCP 트래픽의 경우 3방향 핸드셰이크 프로세스를 확인하지 않습니다. 이 ALG는 트래픽이 단방향으로만 흐르도록 허용하는 스테이트풀 방화벽 전용 서비스 세트의 경우에 유용합니다. 이(가) 이( match-direction input-output 가) 함께 을(를) 구성하면 반환 트래픽이 스테이트풀 방화벽을 통해 플로우 할 수도 있습니다. 일반적인 시나리오는 정적 네트워크 주소 변환(NAT), 대상 네트워크 주소 변환(NAT) 또는 비대칭 라우팅이 있는 상태에서 트래픽이 스테이트풀 방화벽을 통과할 것으로 예상되는 시나리오입니다. Junos IP ALG는 드롭 플로우 생성을 통해 일치하는 트래픽이 삭제되도록 하는 NAPT와 함께 사용하도록 고안되지 않았습니다.
넷BIOS
NetBIOS ALG는 NAT를 사용할 때 NetBIOS IP 주소 및 포트 번호를 변환합니다.
NetBIOS는 TCP 및 UDP 전송 프로토콜을 지원합니다. 스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 포트 138 및 TCP 포트 139에서 NetBIOS ALG를 구성해야 합니다.
넷쇼(NetShow)
Microsoft 프로토콜 ms-streaming은 Microsoft 미디어 서버인 NetShow에서 사용됩니다. 이 프로토콜은 TCP, UDP 및 HTTP와 같은 여러 전송 프로토콜을 지원합니다. 클라이언트는 포트 1755에서 TCP 연결을 시작하고 PORT 명령을 서버로 보냅니다. 그런 다음 서버는 클라이언트에 대한 해당 포트에서 UDP를 시작합니다. 스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 포트 1755에서 NetShow ALG를 구성해야 합니다.
ONC RPC 서비스
ONC(Open Networks Computing) RPC 서비스는 DCE RCP 서비스와 유사하게 작동합니다. 그러나 ONC RPC ALG는 포트 매핑 서비스를 위해 TCP/UDP 포트 111을 사용하며, UUID가 아닌 프로그램 번호를 사용하여 프로토콜을 식별합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 111에서 ONC RPC 포트맵 ALG를 구성해야 합니다. ONC RPC ALG는 애플리케이션별 프로그램 번호와 함께 TCP 프로토콜을 사용합니다.
PPTP (영문)
PPTP(Point-to-Point Tunneling Protocol) ALG는 TCP 기반 ALG입니다. PPTP를 사용하면 PPP(Point-to-Point Protocol)를 IP 네트워크를 통해 터널링할 수 있습니다. PPTP는 클라이언트-서버 아키텍처, PPTP 네트워크 서버 및 PPTP 액세스 집중 장치를 정의합니다. PPTP ALG에는 제어 연결과 데이터 터널이 필요합니다. 제어 연결은 TCP를 사용하여 PPP 세션을 설정 및 연결 해제하고 포트 1723에서 실행됩니다. 데이터 터널은 IP를 통해 전송되는 GRE(Generic Routing Encapsulated) 패킷에서 PPP 트래픽을 전달합니다.
리얼오디오
리얼 네트웍스 PNA 프로토콜 리얼비디오는 별도의 서비스가 아닙니다. RealPlayer의 일부이며 비디오에 다른 채널을 사용할 가능성이 높습니다. RealPlayer 버전 G2, 7 및 8은 PNA 및 RTSP를 사용합니다. 이 버전이 작동하려면 ALG가 PNA(7070)와 RTSP(554)를 모두 허용해야 합니다. 미디어의 경우 서버는 UDP 포트(6970 - 7170) 또는 TCP 포트 7071 또는 HTTP 범위에서 선택합니다. 클라이언트는 특정 포트를 사용하도록 구성할 수 있습니다. RealPlayer 버전 4.0 및 5.0은 제어 채널 7070 미디어 UDP 포트 6970 - 7170 또는 TCP 포트 7071 또는 HTTP를 사용합니다. RealAudio 플레이어 버전 3.0은 제어 채널 7070 미디어, UDP 포트 6770-7170 또는 TCP 포트 7071을 사용합니다.
실제 제품은 표 2에 표시된 포트와 포트 범위를 사용합니다.
실제 제품 |
포트 사용 |
|---|---|
4.0 및 5.0 서버/플레이어 |
TCP 포트 7070의 제어 채널(양방향). TCP 포트 7070 또는 UDP 포트 6970-7170의 서버에서 플레이어로의 데이터 채널입니다. |
4.0 및 5.0 서버/인코더 |
TCP 포트 7070의 제어 채널(양방향). TCP 포트 7070에 있는 인코더 또는 서버의 데이터 채널입니다. |
G2 서버/플레이어 |
TCP 포트 80, 554, 7070 또는 8080의 제어 채널(양방향). TCP 포트 80, 554, 7070, 8080 또는 UDP 포트 6970-32,000에서 서버에서 플레이어로의 데이터 채널. |
G2 Server/3.1 및 5.x 인코더 |
TCP 포트 7070의 제어 채널(양방향). TCP 포트 7070의 인코더에서 서버로의 데이터 채널입니다. |
G2 서버/G2 생산자 |
TCP 포트 4040의 제어 채널(양방향). TCP 포트 4040 및 UDP 포트 6970-32,000의 인코더에서 서버로의 데이터 채널입니다. |
2 서버/G2 생산자(TCP 전용) |
TCP 포트 4040의 제어 채널(양방향) TCP 포트 4040의 인코더에서 서버로의 데이터 채널입니다. 참고: TCP-ONLY 옵션은 버전 6.1 이상에서 사용할 수 있습니다. |
RealAudio는 RealPlayers의 원래 프로토콜이었습니다. 최신 버전의 RealPlayer는 RTSP를 사용합니다. 스테이트풀 방화벽 및 NAT를 사용하려면 ALG RealAudio를 TCP 포트 7070에서 프로그래밍해야 합니다.
Sun RPC 및 RPC 포트맵 서비스
RPC(Remote Procedure Call) ALG는 포트 매핑에 잘 알려진 포트 TCP 111 및 UDP 111을 사용하여 RPC 서비스에 대한 포트를 동적으로 할당하고 엽니다. RPC 포트맵 ALG는 포트 요청을 추적하고 요청된 포트에 대한 방화벽을 동적으로 엽니다. RPC ALG는 허용된 프로그램 번호를 지정하여 RPC 프로토콜을 추가로 제한할 수 있습니다.
ALG에는 표 3에 나열된 RPC 서비스가 포함됩니다.
이름 |
묘사 |
코멘트 |
|---|---|---|
|
네트워크 파일 서버(NFS) 마운트 데몬; 자세한 내용은 에 대한 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). |
|
NFS의 일부로 사용됩니다. 자세한 내용은 RFC 1094를 참조하십시오. NFS v3용 RFC1813도 참조하십시오. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). |
|
NIS+(Network Information Service Plus)는 NIS를 대체하도록 설계되었습니다. Sun Solaris의 기본 이름 지정 서비스이며 이전 NIS와 관련이 없습니다. 사용할 수 있는 프로토콜 정보가 없습니다. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). |
|
네트워크 잠금 관리자. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
커널 통계 서버. 자세한 내용은 및 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
사용자에게 메시지를 작성하는 데 사용됩니다. 자세한 내용은 에 대한 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 바인딩 프로세스. 자세한 내용은 에 대한 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 암호 서버. 자세한 내용은 에 대한 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 서버. 자세한 내용은 에 대한 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
네트워크 업데이트 도구. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 맵 전송 서버. 자세한 내용은 에 대한 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
포트 매핑을 사용하는 스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP/UDP 대상 포트 111에서 RPC 포트맵 ALG를 구성하고 TCP와 UDP 모두에 대해 RPC ALG를 구성해야 합니다. 하나 이상의 rpc-program-number 값을 지정하여 허용되는 RPC 프로토콜을 추가로 제한할 수 있습니다.
증권 시세 표시기
RTSP(Real-Time Streaming Protocol)는 오디오 및 비디오와 같은 실시간 속성을 사용하여 데이터 전달을 제어합니다. RTSP에서 제어하는 스트림은 RTP를 사용할 수 있지만 필수는 아닙니다. 미디어는 동일한 RTSP 제어 스트림에서 전송할 수 있습니다. 이것은 HTTP와 유사한 텍스트 기반 프로토콜이지만 클라이언트와 서버는 세션 정보를 유지합니다. 세션은 SETUP 메시지를 사용하여 설정되고 TEARDOWN 메시지를 사용하여 종료됩니다. 전송(미디어 프로토콜, 주소 및 포트 번호)은 설정 및 설정-응답에서 협상됩니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 554에 대한 RTSP ALG를 구성해야 합니다.
ALG는 제어 연결을 모니터링하고, 미디어(RTP/RTSP) 스트림에 대해 동적으로 플로우를 열고, NAT 주소 및 포트 재작성을 수행합니다.
SIP
SIP(Session Initiation Protocol)는 미디어 세션을 설정, 유지 및 종료할 수 있는 애플리케이션 계층 프로토콜입니다. 널리 사용되는 VoIP(Voice over IP) 신호 프로토콜입니다. SIP ALG는 SIP 트래픽을 모니터링하고 신호 및 미디어 경로에서 핀홀을 동적으로 생성 및 관리합니다. ALG는 올바른 권한이 있는 패킷만 허용합니다. SIP ALG는 다음과 같은 기능도 수행합니다.
부모-자식 세션 관계를 관리합니다.
보안 정책을 시행합니다.
VoIP 트래픽의 핀홀을 관리합니다.
SIP ALG는 다음과 같은 기능을 지원합니다.
스테이트풀 방화벽
정적 소스 NAT
동적 주소 전용 소스 NAT
네트워크 주소 포트 변환 (NAPT)
SIP 세션은 MS-MIC 및 MS-MPC 인터페이스 카드에서 NAT 처리를 위해 12시간(720분)으로 제한됩니다. MS-DPC의 SIP 세션에는 시간 제한이 없습니다.
증권 시세 표시기
SNMP는 개별 네트워크 디바이스와 통합 디바이스를 모두 포함하는 TCP/IP 네트워크를 관리하기 위한 통신 프로토콜입니다. 프로토콜은 RFC 1157에 의해 정의됩니다. SNMP는 UDP 위에서 실행됩니다.
Junos OS 스테이트풀 방화벽 서비스는 SNMP ALG를 구현하여 SNMP 유형을 검사합니다. SNMP는 스테이트풀 플로우를 강제하지 않습니다. 각 SNMP 유형을 구체적으로 활성화해야 합니다. 스테이트풀 방화벽 서비스의 전체 SNMP를 지원하려면 UDP 포트 161에서 SNMP ALG를 구성해야 합니다. 이렇게 하면 SNMP get 및 get-next 명령과 역방향의 응답 트래픽이 활성화됩니다. UDP 포트 161은 SNMP get-response 명령을 활성화합니다. SNMP 트랩이 허용되는 경우 UDP 포트 162에서 구성하여 SNMP trap 명령을 활성화할 수 있습니다.
SQLNet
SQLNet 프로토콜은 Oracle SQL Server에서 로드 밸런싱 및 응용 프로그램별 서비스를 포함하여 클라이언트에서 SQL 명령을 실행하는 데 사용됩니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 1521에 대한 SQLNet ALG를 구성해야 합니다.
ALG는 제어 패킷을 모니터링하고, 데이터 트래픽에 대한 동적으로 플로우를 열며, NAT 주소 및 포트 재작성을 수행합니다.
TFTP (TFTP)
TFTP(Trivial File Transfer Protocol)는 RFC 1350에 지정되어 있습니다. 초기 TFTP 요청은 UDP 대상 포트 69로 전송됩니다. 개별 파일을 가져오 거나 넣 기 위해 추가 흐름을 만들 수 있습니다. 스테이트풀 방화벽 및 네트워크 주소 변환(NAT) 서비스를 지원하려면 UDP 대상 포트 69에 대해 TFTP ALG를 구성해야 합니다.
트레이스라우트
Traceroute는 패킷이 네트워크 호스트로 이동하는 경로를 표시하는 도구입니다. IP TTL(Time-to-Live) 필드를 사용하여 라우터 또는 게이트웨이에서 ICMP time-exceeded 메시지를 트리거합니다. UDP 데이터그램을 사용하지 않는 것으로 여겨지는 대상 포트로 보냅니다. 대상 포트는 + n홉 – 1 공식을 사용하여 번호가 매겨집니다. 기본 기본 포트는 33434입니다. 방화벽을 통해 트레이스라우트를 지원하려면 두 가지 유형의 트래픽을 통과해야 합니다.
UDP 프로브 패킷(UDP 대상 포트 > 33000, IP TTL < 30)
ICMP 응답 패킷(ICMP 유형 시간 초과)
NAT를 적용하면 ICMP 오류 패킷 내의 IP 주소와 포트도 변경해야 합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 대상 포트 33434 - 33450에 대한 트레이스라우트 ALG를 구성해야 합니다. 또한 TTL 임계값을 구성하여 TTL 값이 큰 UDP 플러드 공격을 방지할 수 있습니다.
UNIX Remote-Shell 서비스
세 가지 프로토콜이 UNIX 원격 쉘 서비스의 기초를 형성합니다.
Exec - 원격 명령 실행; 클라이언트 시스템의 사용자가 원격 시스템에서 명령을 실행할 수 있도록 합니다. 클라이언트(
rcmd)에서 서버(rshd)로의 첫 번째 명령은 잘 알려진 TCP 포트 512를 사용합니다. 의 요청에rcmd따라 두 번째 TCP 연결을 열 수 있습니다. 두 번째 연결의 클라이언트 포트 번호는 ASCII 문자열로 서버에 전송됩니다.로그인 - 로
rlogin더 잘 알려져 있으며, 잘 알려진 TCP 포트 513을 사용합니다. 자세한 내용은 RFC 1282를 참조하십시오. 특별한 방화벽 처리가 필요하지 않습니다.Shell—원격 명령 실행; 클라이언트 시스템의 사용자가 원격 시스템에서 명령을 실행할 수 있도록 합니다. 클라이언트(
rcmd)에서 서버(rshd)로의 첫 번째 명령은 잘 알려진 TCP 포트 514를 사용합니다. 의 요청에rcmd따라 두 번째 TCP 연결을 열 수 있습니다. 두 번째 연결의 클라이언트 포트 번호는 ASCII 문자열로 서버에 전송됩니다.
스테이트풀 방화벽 서비스를 지원하려면 TCP 포트 512에서 Exec ALG, TCP 포트 513에서 로그인 ALG, TCP 포트 514에서 Shell ALG를 구성해야 합니다. NAT 원격 셸 서비스를 사용하려면 할당된 모든 동적 소스 포트가 포트 범위 512 - 1023 내에 있어야 합니다. 네트워크 주소 변환(NAT) 풀을 구성하는 경우 이 포트 범위는 원격 셸 애플리케이션 전용으로 예약됩니다.
윈프레임(WinFrame)
WinFrame 응용 프로그램 서버 소프트웨어는 모든 유형의 네트워크 연결을 통해 모든 유형의 클라이언트에 대한 거의 모든 Windows 응용 프로그램에 대한 액세스를 제공합니다.
이 프로토콜은 주로 Citrix Windows 응용 프로그램에서 사용됩니다.
스테이트풀 방화벽 및 NAT를 사용하려면 TCP 대상 포트 1494 및 UDP 포트 1604에서 ALG Winframe을 구성해야 합니다.
주니퍼 네트웍스 기본값
Junos OS는 라우터 구성에 자동으로 적용되는 라는 junos-defaults 숨겨진 기본 구성 그룹을 제공합니다. 그룹에는 junos-defaults 공통 애플리케이션에 대한 사전 정의된 값을 포함하는 사전 구성된 문이 포함되어 있습니다. 일부 명령문은 FTP 또는 Telnet과 같은 응용 프로그램과 같이 유효하려면 참조되어야 합니다. 터미널 설정과 같은 다른 명령문은 자동으로 적용됩니다. 사전 구성된 모든 문은 예약된 이름으로 junos-시작합니다.
Junos OS 기본 구성 값을 무시할 수 있지만 삭제하거나 편집할 수는 없습니다. 구성을 삭제하면 새 구성이 추가될 때 기본값이 반환됩니다.
명령문은 apply-groups Junos OS 기본 그룹과 함께 사용할 수 없습니다.
Junos OS 기본 그룹에서 사용 가능한 사전 설정 문의 전체 집합을 보려면 구성 모드 명령을 실행합니다 show groups junos-defaults . 다음 예제에서는 애플리케이션 프로토콜(ALG)을 사용하는 Junos OS 기본 그룹 목록을 표시합니다.
user@host# show groups junos-defaults
applications {
#
# File Transfer Protocol
#
application junos-ftp {
application-protocol ftp;
protocol tcp;
destination-port 21;
}
#
# Trivial File Transfer Protocol
#
application junos-tftp {
application-protocol tftp;
protocol udp;
destination-port 69;
}
#
# RPC portmapper on TCP
#
application junos-rpc-portmap-tcp {
application-protocol rpc-portmap;
protocol tcp;
destination-port 111;
}
#
# RPC portmapper on UDP
#
application junos-rpc-portmap-udp {
application-protocol rpc-portmap;
protocol udp;
destination-port 111;
}
#
# SNMP get
#
application junos-snmp-get {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get;
}
#
# SNMP get next
#
application junos-snmp-get-next {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get-next;
}
#
# SNMP response
#
application junos-snmp-response {
application-protocol snmp;
protocol udp;
source-port 161;
snmp-command get-response;
}
#
# SNMP trap
#
application junos-snmp-trap {
application-protocol snmp;
protocol udp;
destination-port 162;
snmp-command trap;
}
#
# remote exec
#
application junos-rexec {
application-protocol exec;
protocol tcp;
destination-port 512;
}
#
# remote login
#
application junos-rlogin {
application-protocol shell;
protocol tcp;
destination-port 513;
}
#
# remote shell
#
application junos-rsh {
application-protocol shell;
protocol tcp;
destination-port 514;
}
#
# Real Time Streaming Protocol
#
application junos-rtsp {
application-protocol rtsp;
protocol tcp;
destination-port 554;
}
#
# Citrix windows application server protocol
# windows applications remotely on windows/non-windows clients
#
# citrix needs udp 1604 to be open
#
application junos-citrix-winframe {
application-protocol winframe;
protocol tcp;
destination-port 1494;
}
application junos-citrix-winframe-udp {
protocol udp;
destination-port 1604;
}
#
# Oracle SQL servers use this protocol to execute sql commands
# from clients, load balance, use application-specific servers, etc
#
application junos-sqlnet {
application-protocol sqlnet;
protocol tcp;
destination-port 1521;
}
#
# H.323 Protocol for audio/video conferencing
#
application junos-h323 {
application-protocol h323;
protocol tcp;
destination-port 1720;
}
application junos-h323-ras {
application-protocol ras;
protocol udp;
destination-port 1719;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# The ORB protocol in Java virtual machines uses port 1975 as default
#
application junos-iiop-java {
application-protocol iiop;
protocol tcp;
destination-port 1975;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# ORBIX is a CORBA framework from Iona Technologies that uses port
# 3075 as default
#
application junos-iiop-orbix {
application-protocol iiop;
protocol tcp;
destination-port 3075;
}
#
# Real players use this protocol for real time streaming
# This was the original protocol for real players.
# RTSP is more widely used by real players
# but they still support realaudio.
#
application junos-realaudio {
application-protocol realaudio;
protocol tcp;
destination-port 7070;
}
#
# traceroute application.
#
application junos-traceroute {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 30;
}
#
# The full range of known RPC programs using UDP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-udp {
application-protocol rpc;
protocol udp;
rpc-program-number 100000-400000;
}
#
# The full range of known RPC programs using TCP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-tcp {
application-protocol rpc;
protocol tcp;
rpc-program-number 100000-400000;
}
#
# All ICMP traffic
# This can be made to be more restrictive by specifying ICMP type
# and code.
#
application junos-icmp-all {
application-protocol icmp;
}
#
# Protocol used by Windows media server and windows media player
#
application junos-netshow {
application-protocol netshow;
protocol tcp;
destination-port 1755;
}
#
# NetBIOS - networking protocol used on
# Windows networks name service port, both UDP and TCP
#
application junos-netbios-name-udp {
application-protocol netbios;
protocol udp;
destination-port 137;
}
application junos-netbios-name-tcp {
protocol tcp;
destination-port 137;
}
#
# NetBIOS - networking protocol used on
# Windows networks datagram service port
#
application junos-netbios-datagram {
application-protocol netbios;
protocol udp;
destination-port 138;
}
#
# NetBIOS - networking protocol used on
# Windows networks session service port
#
application junos-netbios-session {
protocol tcp;
destination-port 139;
}
#
# DCE-RPC portmapper on TCP
#
application junos-dce-rpc-portmap {
application-protocol dce-rpc-portmap;
protocol tcp;
destination-port 135;
}
#
# DCE-RPC application on TCP sample UUID
# This application requires user to specify the UUID value
#
# application junos-dcerpc {
# application-protocol dce-rpc;
# protocol tcp;
#
# # UUID also needs to be defined as shown below
# UUID 11223344 22334455 33445566 44556677;
#
# }
#
# ms-exchange needs these 3 UUIDs
#
application junos-dcerpc-endpoint-mapper-service {
application-protocol dce-rpc;
protocol tcp;
uuid e1af8308-5d1f-11c9-91a4-08002b14a0fa;
}
application junos-dcerpc-msexchange-directory-rfr {
application-protocol dce-rpc;
protocol tcp;
uuid 1544f5e0-613c-11d1-93df-00c04fd7bd09;
}
application junos-dcerpc-msexchange-information-store {
application-protocol dce-rpc;
protocol tcp;
uuid a4f1db00-ca47-1067-b31f-00dd010662da;
}
application junos-ssh {
protocol tcp;
destination-port 22;
}
application junos-telnet {
protocol tcp;
destination-port 23;
}
application junos-smtp {
protocol tcp;
destination-port 25;
}
application junos-dns-udp {
protocol udp;
destination-port 53;
}
application junos-dns-tcp {
protocol tcp;
destination-port 53;
}
application junos-tacacs {
protocol tcp;
destination-port 49;
}
# TACACS Database Service
application junos-tacacs-ds {
protocol tcp;
destination-port 65;
}
application junos-dhcp-client {
protocol udp;
destination-port 68;
}
application junos-dhcp-server {
protocol udp;
destination-port 67;
}
application junos-bootpc {
protocol udp;
destination-port 68;
}
application junos-bootps {
protocol udp;
destination-port 67;
}
application junos-finger {
protocol tcp;
destination-port 79;
}
application junos-http {
protocol tcp;
destination-port 80;
}
application junos-https {
protocol tcp;
destination-port 443;
}
application junos-pop3 {
protocol tcp;
destination-port 110;
}
application junos-ident {
protocol tcp;
destination-port 113;
}
application junos-nntp {
protocol tcp;
destination-port 119;
}
application junos-ntp {
protocol udp;
destination-port 123;
}
application junos-imap {
protocol tcp;
destination-port 143;
}
application junos-imaps {
protocol tcp;
destination-port 993;
}
application junos-bgp {
protocol tcp;
destination-port 179;
}
application junos-ldap {
protocol tcp;
destination-port 389;
}
application junos-snpp {
protocol tcp;
destination-port 444;
}
application junos-biff {
protocol udp;
destination-port 512;
}
# UNIX who
application junos-who {
protocol udp;
destination-port 513;
}
application junos-syslog {
protocol udp;
destination-port 514;
}
# line printer daemon, printer, spooler
application junos-printer {
protocol tcp;
destination-port 515;
}
# UNIX talk
application junos-talk-tcp {
protocol tcp;
destination-port 517;
}
application junos-talk-udp {
protocol udp;
destination-port 517;
}
application junos-ntalk {
protocol udp;
destination-port 518;
}
application junos-rip {
protocol udp;
destination-port 520;
}
# INA sanctioned RADIUS port numbers
application junos-radius {
protocol udp;
destination-port 1812;
}
application junos-radacct {
protocol udp;
destination-port 1813;
}
application junos-nfsd-tcp {
protocol tcp;
destination-port 2049;
}
application junos-nfsd-udp {
protocol udp;
destination-port 2049;
}
application junos-cvspserver {
protocol tcp;
destination-port 2401;
}
#
# Label Distribution Protocol
#
application junos-ldp-tcp {
protocol tcp;
destination-port 646;
}
application junos-ldp-udp {
protocol udp;
destination-port 646;
}
#
# JUNOScript and JUNOScope management
#
application junos-xnm-ssl {
protocol tcp;
destination-port 3220;
}
application junos-xnm-clear-text {
protocol tcp;
destination-port 3221;
}
#
# IPsec tunnel
#
application junos-ipsec-esp {
protocol esp;
}
#
#IKE application for IPSec VPN
#
application junos-ike {
application-protocol ike-esp-nat;
protocol udp;
destination-port 500;
}
#
# 'junos-algs-outbound' defines a set of all applications
# requiring an ALG. Useful for defining rule to the the public
# internet allowing private network users to use all JUNOS OS
# supported ALGs initiated from the private network.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-algs-outbound {
application junos-ftp;
application junos-tftp;
application junos-rpc-portmap-tcp;
application junos-rpc-portmap-udp;
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-rexec;
application junos-rlogin;
application junos-rsh;
application junos-rtsp;
application junos-citrix-winframe;
application junos-citrix-winframe-udp;
application junos-sqlnet;
application junos-h323;
application junos-iiop-java;
application junos-iiop-orbix;
application junos-realaudio;
application junos-traceroute;
application junos-rpc-services-udp;
application junos-rpc-services-tcp;
application junos-icmp-all;
application junos-netshow;
application junos-netbios-name-udp;
application junos-netbios-datagram;
application junos-dcerpc-endpoint-mapper-service;
application junos-dcerpc-msexchange-directory-rfr;
application junos-dcerpc-msexchange-information-store;
}
#
# 'junos-management-inbound' represents the group of applications
# that might need access the router from public network for
# for management purposes.
#
# Set is intended for a UI to display management choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set may grow in future JUNOS versions.
#
application-set junos-management-inbound {
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-ssh;
application junos-telnet;
application junos-http;
application junos-https;
application junos-xnm-ssl;
application junos-xnm-clear-text;
}
#
# 'junos-routing-inbound' represents routing protocols that might
# need to access the router from public network.
#
# Set is intended for a UI to display routing involvement choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-routing-inbound {
application junos-bgp;
application junos-rip;
application junos-ldp-tcp;
application junos-ldp-udp;
}
application-set junos-h323-suite {
application junos-h323-ras,
application junos-h323;
}
}
그룹에서 junos-defaults 사용할 수 있는 문을 참조하려면 해당 계층 수준에서 선택한 junos-default-name 문을 포함합니다. 응용 프로그램 프로토콜을 구성하려면 응용 프로그램 속성 구성을 참조하십시오. 특정 프로토콜에 대한 자세한 내용은 ALG 설명 을 참조하십시오.
예: Junos OS 기본 그룹에서 사전 설정된 문 참조
다음 예는 스테이트풀 방화벽에서 FTP에 사용할 수 있는 Junos OS 기본 그룹의 사전 설정된 문입니다.
[edit]
groups {
junos-defaults {
applications {
application junos-ftp { # Use FTP default configuration
application-protocol ftp;
protocol tcp;
destination-port 21;
}
}
}
Junos OS 기본 그룹에서 사전 설정된 Junos OS 기본 문을 참조하려면 해당 계층 수준에서 문을 포함합니다junos-default-name. 예를 들어, 스테이트풀 방화벽에서 FTP에 대한 Junos OS 기본 문을 참조하려면 계층 수준에서 문을 [edit services stateful-firewall rule rule-name term term-name from applications] 포함합니다junos-ftp.
[edit]
services {
stateful-firewall {
rule my-rule {
term my-term {
from {
applications junos-ftp; #Reference predefined statement, junos-ftp,
}
}
}
}
}
다음 예는 기본 Junos IP ALG의 구성을 보여줍니다.
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications junos-ip;
}
then {
accept;
syslog;
}
}
}
}
}
스테이트풀 방화벽 규칙에서 IP ALG를 구성하면 모든 IP 트래픽과 일치하지만 다른 특정 애플리케이션이 동일한 트래픽과 일치하면 IP ALG는 일치하지 않습니다. 예를 들어, 다음 구성에서는 ICMP ALG와 IP ALG가 모두 구성되지만 트래픽은 ICMP 패킷에 대해 더 구체적인 일치이기 때문에 일치합니다.
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications [ junos-ip junos-icmp-all ];
}
then {
accept;
syslog;
}
}
}
}
}
참조
MS-MIC 및 MS-MPC용 ICMP, 핑 및 트레이스라우트 ALG
Junos OS 릴리스 14.2부터 MS-MIC 및 MS-MPC에 사전 설치 및 사전 구성된 Junos OS 확장 공급자 패키지는 uKernel 서비스가 제공하는 지원과 동일한 일관된 방식으로 ping, traceroute 및 ICMP ALG에 대한 지원을 제공합니다. MS-MIC/MS-MPC와 uKernel 서비스 간에 이러한 ALG에 대한 패리티 및 지원 균일성이 설정됩니다. Junos OS 릴리스 14.1까지는 ICMP ALG, ping ALG 및 traceroute ALG가 uKernel PIC에서 SFW(Stateful Firewall)를 사용하여 네트워크 주소 변환(NAT)를 활성화하는 uKernel 서비스와 비교하여 MS-MIC 및 MS-MPC가 있는 MX 시리즈 라우터에서 완전히 지원되지 않았습니다. 반대 방향의 기존 플로우와 일치하는 ICMP 오류 응답 패킷의 처리 및 핑 패킷의 NAT 처리를 통한 ICMP 패킷의 NAT 처리를 지원할 수 있었습니다.
MS-MIC와 MS-MPC가 있는 MX 시리즈 라우터에서는 ICMP 시퀀스 번호를 전적으로 사용하여 ping 트래픽 상태를 추적(예: 해당 시퀀스 번호가 있는 에코 요청이 식별된 경우에만 에코 응답 전달)이 지원됩니다. ICMP ALG(Application Layer Gateway)는 자세한 로깅 정보를 제공하도록 향상되었습니다. 또한 트레이스라우트 ALG를 사용하면 UDP 대상 포트 번호가 33000보다 크고 IP TTL(Time-to-Live)이 30초 미만인 UDP 프로브 패킷을 처리할 수 있습니다. 트레이스라우트 ALG는 ICMP 유형이 시간 초과인 ICMP 응답 패킷을 처리하고 트레이스 라우팅에 허용되는 네트워크 침투 수준을 제어하는 트레이스라우트 TTL 임계값을 지원합니다.
및 [edit services nat rule rule-name term term-name from] 계층 수준에서 , application junos-icmp-ping, application icmp-code 및 문 [edit services stateful-firewall rule rule-name term term-name from] 으로 ICMP 및 ping 메시지를 application junos-icmp-all구성하여 스테이트풀 방화벽 및 NAT 규칙에 대한 일치 조건을 정의할 수 있습니다. Junos OS 릴리스 14.1이 나오기 전까지는 ICMP 메시지에 대해 정의할 수 있는 애플리케이션에 대한 제한이나 검증이 없었습니다. MS-MIC 및 MS-MPC는 uKernel 서비스와 동일한 방식으로 작동하므로 ICMP 시퀀스 번호를 사용하여 ping 트래픽을 stateful 추적할 수 있습니다(해당 시퀀스 번호의 에코 요청이 일치하는 경우에만 에코 응답이 전달됨). 또한 MS-MIC 및 MS-MPC는 미해결 ping 요청에 제한을 부과하고 제한에 도달하면 후속 ping 요청을 삭제합니다.
마찬가지로, 트레이스라우트 메시지의 경우, 및 [edit services nat rule rule-name term term-name from] 계층 수준에서 및 application junos-traceroute-ttl-1 명령문을 [edit services stateful-firewall rule rule-name term term-name from] 구성 application junos-traceroute 하여 스테이트풀 방화벽 및 네트워크 주소 변환(NAT) 규칙에 대한 트레이스라우트 메시지의 일치 조건을 정의할 수 있습니다.
경로 추적 및 ICMP 메시지는 IPv4 및 IPv6 패킷 모두에 대해 지원됩니다. 트레이스라우트 기능이 작동하려면 사용자 정의 애플리케이션이 비활성 타임아웃 기간 동안 예상대로 작동하는지, TTL 임계값이 계층 수준에서 문을 [edit services application-identification application application-name] 사용하여 session-timeout seconds 구성한 것과 동일한 기간으로 구성되었는지 확인하기만 하면 됩니다. ICMP 메시지를 로깅하는 동안 ping 및 ICMP 유틸리티에 대한 ALG 정보는 uKernel 로깅에 표시되는 것과 동일한 방식으로 및 show conversations와 같은 관련 show 명령 show sessions 의 출력에 표시됩니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.