ALG 개요
ALG 설명
이 주제는 Junos OS에서 지원하는 ALG(Application Layer Gateway)에 대해 설명합니다. ALG 지원에는 지원되는 ALG에 대한 핀홀 및 상위-하위 관계 관리가 포함됩니다.
지원되는 ALG
표 1 에는 Junos OS에서 지원하는 ALG가 나와 있습니다. MS-DPC, MS-MPC, MS-MIC에서 지원되는 ALG에 대한 자세한 내용은 Junos OS Address Aware NAT에 사용할 수 있는 ALG를 참조하십시오.
지원되는 ALG |
v4 - v4 |
v6 - v4 |
v6 - v6 |
DS-LITE(MS-MPC 및 MS-MIC에서 DS-lite를 사용하는 ALG에 대한 지원은 Junos OS 릴리스 18.1R1에서 시작됨) |
|---|---|---|---|---|
기본 TCP ALG |
예 |
예 |
예 |
예 |
기본 UPD ALG |
예 |
예 |
예 |
예 |
Bootp |
예 |
아니요 |
아니요 |
아니요 |
DCE RPC 서비스 |
예 |
아니요 |
아니요 |
아니요 |
Dns |
예 |
예 |
아니요 |
예 |
Ftp |
예 |
예(Junos OS 릴리스 14.1R1부터) |
아니요 |
예 |
게이트키퍼 RAS |
예(Junos OS 릴리스 17.1R1부터) |
예(Junos OS 릴리스 17.2R1부터) |
아니요 |
아니요 |
H323 |
예 |
예(Junos OS 릴리스 17.2R1부터) |
아니요 |
아니요 |
Icmp |
예 |
예 |
예 |
예 |
IKE ALG(Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터 시작) |
예 |
예 |
아니요 |
아니요 |
Iiop |
예 |
아니요 |
아니요 |
아니요 |
Ip |
예 |
아니요 |
아니요 |
아니요 |
Netbios |
예 |
아니요 |
아니요 |
아니요 |
Netshow |
예 |
아니요 |
아니요 |
아니요 |
Pptp |
예 |
예(Junos OS 릴리스 14.1R1부터) |
아니요 |
예 |
리얼오디오 |
예 |
아니요 |
아니요 |
아니요 |
Sun RPC 및 RPC 포트 맵 서비스 |
예 |
아니요 |
아니요 |
아니요 |
Rtsp |
예 |
예(Junos OS 릴리스 14.1R1부터) |
아니요 |
예 |
Sip |
예 |
예(Junos OS 릴리스 14.1R1부터) |
아니요 |
SIP는 Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC의 DS-Lite에 대해 지원됩니다. |
Snmp |
예 |
아니요 |
아니요 |
아니요 |
SQLNET |
예 |
아니요 |
아니요 |
아니요 |
Tftp |
예 |
예(Junos OS 릴리스 14.1R1부터) |
아니요 |
예 |
Traceroute |
예 |
예 |
아니요 |
예 |
Unix 원격 셸 서비스 |
예 |
아니요 |
아니요 |
아니요 |
WINFrame |
예 |
아니요 |
아니요 |
아니요 |
ALG 지원 세부 정보
이 섹션에는 ALG에 대한 세부 정보가 포함되어 있습니다. 여기에는 다음이 포함됩니다.
- 기본 TCP ALG
- 기본 UDP ALG
- Bootp
- DCE RPC 서비스
- Dns
- Ftp
- 게이트키퍼 RAS
- H323
- Icmp
- Iiop
- IKE ALG
- Ip
- Netbios
- Netshow
- ONC RPC 서비스
- Pptp
- 리얼오디오
- Sun RPC 및 RPC Portmap 서비스
- Rtsp
- Sip
- Snmp
- SQLNet
- Tftp
- Traceroute
- UNIX 원격 셸 서비스
- 윈프레임
기본 TCP ALG
이 ALG는 TCP 패킷에 대한 기본적인 온전성 검사를 수행합니다. 오류가 발견되면 다음과 같은 이상 이벤트 및 시스템 로그 메시지를 생성합니다.
TCP 원본 또는 대상 포트 0
TCP 헤더 길이 검사 실패
TCP 시퀀스 번호가 0이고 플래그가 설정되지 않았습니다.
TCP 시퀀스 번호 0 및 FIN/PSH/RST 플래그가 설정됨
TCP FIN/RST 또는 SYN(URG|핀|RST) 플래그가 설정됩니다
TCP ALG는 다음 단계를 수행합니다.
라우터가 SYN 패킷을 수신하면 ALG는 TCP 순방향 및 역방향 플로우를 생성하고 대화에서 그룹화합니다. TCP 3방향 핸드셰이크를 추적합니다.
SYN 방어 메커니즘은 TCP 연결 설정 상태를 추적합니다. TCP 세션이 짧은 시간 간격(현재 4초) 내에 설정될 것으로 예상합니다. 해당 기간 동안 TCP 3방향 핸드셰이크가 설정되지 않으면 세션이 종료됩니다.
keepalive 메커니즘은 응답하지 않는 엔드포인트가 있는 TCP 세션을 감지합니다.
ICMP 오류는 흐름이 ICMP 데이터에 지정된 선택기 정보와 일치하는 경우에만 허용됩니다.
기본 UDP ALG
이 ALG는 UDP 헤더에 대한 기본적인 온전성 검사를 수행합니다. 오류가 발견되면 다음과 같은 이상 이벤트 및 시스템 로그 메시지를 생성합니다.
UDP 원본 또는 대상 포트 0
UDP 헤더 길이 검사 실패
UDP ALG는 다음 단계를 수행합니다.
첫 번째 패킷을 수신하면 ALG는 양방향 흐름을 생성하여 정방향 및 역방향 UDP 세션 트래픽을 수락합니다.
세션이 최대 허용 유휴 시간(기본값은 30초)을 초과하여 유휴 상태이면 흐름이 삭제됩니다.
ICMP 오류는 흐름이 ICMP 데이터에 지정된 선택기 정보와 일치하는 경우에만 허용됩니다.
Bootp
부트스트랩 프로토콜(BOOTP) 클라이언트는 네트워크를 통해 서버에서 네트워킹 정보를 검색합니다. 정보를 요청하기 위해 일반 브로드캐스트 메시지를 보내며, 이 메시지는 BOOTP 서버에서 반환됩니다. 프로토콜 사양은 을 참조하십시오 ftp://ftp.isi.edu/in-notes/rfc951.txt.
스테이트풀 방화벽을 지원하려면 UDP 서버 포트 67 및 클라이언트 포트 68에서 BOOTP ALG를 구성해야 합니다. 클라이언트가 브로드캐스트 메시지를 보내면 서비스 규칙의 문에서 from 브로드캐스트 주소를 구성해야 합니다. NAT 규칙이 트래픽과 일치하더라도 BOOTP 트래픽에서 NAT(네트워크 주소 변환)가 수행되지 않습니다. 라우터에서 BOOTP 릴레이 기능이 활성화되면 원격 BOOTP 서버는 NAT 변환에 의해 마스킹된 클라이언트에 주소를 할당하는 것으로 간주됩니다.
DCE RPC 서비스
DCE(분산 컴퓨팅 환경) RPC(원격 프로시저 호출) 서비스는 주로 Microsoft 애플리케이션에서 사용됩니다. ALG는 포트 매핑 서비스에 잘 알려진 TCP 포트 135를 사용하며, 프로토콜을 식별하기 위해 프로그램 번호 대신 범용 고유 식별자(UUID)를 사용합니다. 주요 응용 프로그램 기반 DCE RPC는 Microsoft Exchange 프로토콜입니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 135에서 DCE RPC 포트맵 ALG를 구성해야 합니다. DCE RPC ALG는 애플리케이션별 UUID와 함께 TCP 프로토콜을 사용합니다.
Dns
일반적으로 포트 53에서 실행되는 DNS(Domain Name System)는 도메인 이름을 찾아 IP 주소로 변환하는 것과 관련된 데이터를 처리합니다. MX 시리즈 DNS ALG는 DNS 쿼리 및 응답 패킷을 모니터링하고, UDP 및 TCP DNS 트래픽을 독립적으로 지원합니다. DNS ALG는 NAT에 대한 페이로드 변환을 지원하지 않지만 운영자는 DNS 서버가 응답을 보낸 후 이를 사용하여 메모리에서 NAT 또는 스테이트풀 방화벽 DNS 세션을 효율적으로 제거할 수 있습니다. DNS ALG는 회신이 수신되거나 유휴 시간 제한에 도달한 경우에만 세션을 닫습니다.
DNS 트래픽이 표준 요청 및 응답 유형이 아닌 경우 TCP-DNS-ALG를 사용할 때 TCP DNS 트래픽에 문제가 있을 수 있습니다. 예를 들어 TCP-DNS-ALG는 DNS 복제 또는 영역 전송과 같이 TCP를 사용하는 DNS 서버 간 통신을 중단할 수 있습니다. TCP 핸드셰이크가 완료된 후 각 서버가 한 패킷을 다른 패킷으로 전송한 후 TCP-DNS-ALG가 세션을 닫기 때문에 이러한 유형의 트래픽은 NAT 또는 스테이트풀 방화벽 플러그인에 의해 삭제될 수 있습니다. 이러한 경우 TCP-DNS-ALG를 사용하지 마십시오.
TCP-DNS-ALG는 MS-DPC 서비스 카드에서 지원되지 않습니다.
Ftp
FTP는 RFC 959에 지정된 파일 전송 프로토콜입니다. 주 제어 연결 외에도 클라이언트와 서버 간의 모든 데이터 전송에 대한 데이터 연결도 이루어집니다. 호스트, 포트 및 방향은 제어 채널을 통해 협상됩니다.
비패시브 모드 FTP의 경우, Junos OS 스테이트풀 방화벽 서비스는 클라이언트-서버 애플리케이션 데이터에서 PORT 명령을 스캔하며, 이 명령은 서버가 연결할 IP 주소와 포트 번호를 제공합니다. 패시브 모드 FTP의 경우, Junos OS 스테이트풀 방화벽 서비스는 PASV 명령에 대한 클라이언트-서버 애플리케이션 데이터를 스캔한 다음 클라이언트가 연결하는 IP 주소 및 포트 번호가 포함된 227 응답에 대해 서버 간 응답을 스캔합니다.
FTP는 이러한 주소와 포트 번호를 ASCII로 나타냅니다. 따라서 주소와 포트를 다시 쓸 때 TCP 시퀀스 번호가 변경될 수 있으며, 그 후에 NAT 서비스는 모든 후속 패킷에서 시퀀스 NAT를 수행하여 이 델타를 SEQ 및 ACK 번호로 유지해야 합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 21에서 FTP ALG를 구성하여 FTP 제어 프로토콜을 활성화해야 합니다. ALG는 다음과 같은 작업을 수행합니다.
동적 데이터 연결을 위한 데이터 포트 및 방화벽 권한을 자동으로 할당합니다.
동적으로 협상된 데이터 연결에 대한 흐름을 만듭니다
능동 및 수동 모드 모두에서 제어 연결을 모니터링합니다.
적절한 NAT 주소 및 포트 정보를 사용하여 제어 패킷을 재작성합니다
MS-MPC에서 MS-MIC는 FTP ALG(Application Layer Gateway)가 활성화되지 않은 상태에서 패시브 FTP가 제대로 작동하려면(및 [edit services nat rule rule-name term term-name from] 계층 수준에서 문을 [edit services stateful-firewall rule rule-name term term-name from] 지정하지 application junos-ftp 않음으로써) 계층 수준에서 문을 [edit services nat rule rule-name term term-name then translated] 포함하여 address-pooling 페어링된 주소 풀링(APP) 기능을 활성화해야 합니다. 이러한 구성으로 인해 데이터 및 제어 FTP 세션이 동일한 NAT 주소를 수신합니다.
게이트키퍼 RAS
Junos OS 릴리스 17.1R1부터 게이트키퍼 등록, 관리 및 상태(RAS) ALG를 통해 H.323 통화에 대한 게이트키퍼 모드를 완벽하게 지원할 수 있습니다. 엔드포인트는 게이트키퍼에 등록하고 관리를 요청합니다. 전화를 걸기 전에 엔드포인트는 게이트키퍼에게 전화를 걸 수 있는 권한을 요청합니다. 등록 및 승인 단계 모두에서 RAS 채널이 사용됩니다. IPv4 및 IPv6 스테이트풀 방화벽 규칙 또는 NAPT-44 규칙에서 게이트키퍼 RAS ALG 및 H323 ALG를 사용합니다. Junos OS 릴리스 17.2R1부터 NAT-64 규칙도 지원됩니다. Junos 기본 애플리케이션 세트 junos-h323-suite 에는 H323 ALG 및 게이트키퍼 RAS ALG가 포함됩니다.
H323
H323은 오디오 및 비디오 회의 및 협업 애플리케이션을 위한 ITU 프로토콜 제품군입니다. H323은 미디어 통신을 위한 H.225 호 신호 프로토콜과 H.245 제어 프로토콜로 구성됩니다. H.225 협상 중에 엔드포인트는 제어 채널에서 통화 신호 메시지를 교환하여 통화를 생성하고 H.245에 대한 새 제어 채널을 협상합니다. H.245 메시지에 대한 새 제어 연결이 만들어집니다. H.245 제어 채널에서 미디어 채널을 열기 위해 메시지가 교환됩니다.
스테이트풀 방화벽은 H.225 제어 채널을 모니터링하여 H.245 제어 채널을 엽니다. H.245 채널이 생성된 후 상태 저장 방화벽은 이 채널에서 미디어 채널 정보를 모니터링하고 방화벽을 통과하는 미디어 트래픽도 허용합니다.
H323 ALG는 H.225 및 H.245 메시지에서 적절한 주소와 포트를 재작성하여 정적 대상, 정적 및 동적 소스 NAT를 지원합니다.
H.323 통화에 대한 게이트키퍼 모드를 지원하려면 IPv4 및 IPv6 스테이트풀 방화벽 규칙 또는 NAPT-44 규칙에서 H323 ALG 및 게이트키퍼 RAS ALG를 사용합니다. Junos OS 릴리스 17.2R1부터 NAT-64 규칙도 지원됩니다. Junos 기본 애플리케이션 세트 junos-h323-suite 에는 H323 ALG 및 게이트키퍼 RAS ALG가 포함됩니다.
Icmp
ICMP(Internet Control Message Protocol)는 RFC 792에 정의되어 있습니다. Junos OS 스테이트풀 방화벽 서비스를 사용하면 ICMP 메시지를 특정 유형 또는 특정 유형 코드 값으로 필터링할 수 있습니다. 특별히 구성된 유형 및 코드가 없는 ICMP 오류 패킷은 반대 방향의 기존 흐름과 일치하여 오류 패킷의 적법성을 확인합니다. 필터 일치를 통과하는 ICMP 오류 패킷은 NAT 변환의 대상이 됩니다.
ICMP ALG는 항상 ICMP 시퀀스 번호를 사용하여 핑 트래픽을 스테이트풀로 추적합니다. 각 에코 응답은 해당 시퀀스 번호의 에코 요청이 있는 경우에만 전달됩니다. 모든 ping 흐름의 경우 에코 응답을 수신하지 않고 20개의 에코 요청만 전달할 수 있습니다. 동적 네트워크 주소 변환(NAT)을 구성하면 PING 패킷 식별자가 변환되어 네트워크 주소 변환(NAT) 풀의 추가 호스트가 동일한 식별자를 사용할 수 있습니다.
스테이트풀 방화벽 및 네트워크 주소 변환(NAT) 서비스를 지원하려면 프로토콜이 필요한 경우 ICMP ALG를 구성해야 합니다. 추가 필터링을 위해 ICMP 유형 및 코드를 구성할 수 있습니다.
Iiop
Oracle Application Server 이름 서버 IIOP(Internet Inter-ORB Protocol)입니다. 이 ALG는 분산 컴퓨팅 기반의 CORBA(Common Object Request Broker Architecture)에서 사용됩니다. CORBA 및 IIOP가 OMG(Object Management Group) 표준이지만 IIOP에는 고정 포트가 지정되지 않습니다. CORBA를 구현하는 각 벤더는 포트를 선택합니다. Java Virtual Machine은 기본적으로 포트 1975를 사용하는 반면 ORBIX는 포트 3075를 기본값으로 사용합니다.
스테이트풀 방화벽 및 NAT를 사용하려면 Java VM IIOP의 경우 TCP 포트 1975, CORBA 애플리케이션의 경우 3075에 대해 ALG IIOP를 구성해야 하며, Iona Technologies의 CORBA 프레임워크인 ORBIX를 구성해야 합니다.
IKE ALG
Junos OS 릴리스 17.4R1 이전에는 MX 시리즈 라우터의 Junos VPN Site Secure IPsec 기능 제품군에 대해 NAT-T(Network Address Translation-Traversal)가 지원되지 않습니다. Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터 IKE ALG는 NAT-T를 준수하지 않는 IPsec 피어 간에 NAPT-44 및 NAT64 규칙을 통해 IKEv1 및 IPsec 패킷의 전달을 지원합니다. 이 ALG는 ESP 터널 모드만 지원합니다.
NAT 규칙에서 이 ALG를 사용하고 UDP 프로토콜 및 포트 500을 지정합니다.
이 ALG는 다음을 수행합니다.
IKEv1 연결 시작 요청을 추적하여 NAT 처리가 필요한지 여부를 결정합니다.
발신 및 수신 IKEv1 요청에 대해 NAT 변환을 수행하고 IKE 세션을 생성합니다.
설정된 IKE(Internet Key Exchange) 세션과 관련된 IPsec 패킷을 식별하고 피어 간의 보안 연결을 설정합니다.
IPsec 패킷에서 NAT 변환을 수행합니다.
Ip
IP ALG는 단방향 플로우를 생성하는 데만 사용됩니다. TCP 트래픽의 경우 3방향 핸드셰이크 프로세스를 확인하지 않습니다. 이 ALG는 트래픽이 단방향으로만 흐를 수 있는 스테이트풀 방화벽 전용 서비스 세트의 경우에 유용합니다. 이와 함께 match-direction input-output 구성하면 반환 트래픽도 스테이트풀 방화벽을 통과할 수 있습니다. 일반적인 시나리오는 정적 NAT, 대상 NAT 또는 트래픽이 비대칭 라우팅이 있는 상태에서 스테이트풀 방화벽을 통과할 것으로 예상되는 시나리오입니다. Junos IP ALG는 NAPT와 함께 사용하기 위한 것이 아니며, 이로 인해 드롭 플로우 생성을 통해 일치하는 트래픽이 삭제됩니다.
Netbios
NetBIOS ALG는 NAT를 사용할 때 NetBIOS IP 주소 및 포트 번호를 변환합니다.
NetBIOS는 TCP 및 UDP 전송 프로토콜을 지원합니다. 스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 포트 138 및 TCP 포트 139에서 NetBIOS ALG를 구성해야 합니다.
Netshow
Microsoft 프로토콜 ms-streaming은 Microsoft 미디어 서버인 NetShow에서 사용됩니다. 이 프로토콜은 TCP, UDP 및 HTTP와 같은 여러 전송 프로토콜을 지원합니다. 클라이언트는 포트 1755에서 TCP 연결을 시작하고 PORT 명령을 서버로 보냅니다. 그런 다음 서버는 클라이언트에 대한 해당 포트에서 UDP를 시작합니다. 스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 포트 1755에서 NetShow ALG를 구성해야 합니다.
ONC RPC 서비스
ONC(Open Networks Computing) RPC 서비스는 DCE RCP 서비스와 유사하게 작동합니다. 그러나 ONC RPC ALG는 포트 매핑 서비스에 TCP/UDP 포트 111을 사용하며, 프로그램 번호를 사용하여 UUID가 아닌 프로토콜을 식별합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 111에서 ONC RPC 포트맵 ALG를 구성해야 합니다. ONC RPC ALG는 애플리케이션별 프로그램 번호와 함께 TCP 프로토콜을 사용합니다.
Pptp
PPTP(Point-to-Point Tunneling Protocol) ALG는 TCP 기반 ALG입니다. PPTP를 사용하면 PPP(Point-to-Point Protocol)가 IP 네트워크를 통해 터널링될 수 있습니다. PPTP는 클라이언트-서버 아키텍처, PPTP 네트워크 서버 및 PPTP 액세스 집중 장치를 정의합니다. PPTP ALG에는 제어 연결 및 데이터 터널이 필요합니다. 제어 연결은 TCP를 사용하여 PPP 세션을 설정 및 연결 해제하며 포트 1723에서 실행됩니다. 데이터 터널은 IP를 통해 전달되는 GRE(Generic Routing Encapsulated) 패킷에서 PPP 트래픽을 전달합니다.
리얼오디오
리얼 네트웍스 PNA 프로토콜 RealVideo는 별도의 서비스가 아닙니다. RealPlayer의 일부이며 비디오에 다른 채널을 사용할 가능성이 큽니다. RealPlayer 버전 G2, 7 및 8은 PNA 및 RTSP를 사용합니다. 이 버전이 작동하려면 ALG가 PNA(7070)와 RTSP(554)를 모두 허용해야 합니다. 미디어의 경우 서버는 UDP 포트(6970 - 7170) 또는 TCP 포트 7071 또는 HTTP 범위에서 선택합니다. 클라이언트는 특정 포트를 사용하도록 구성할 수 있습니다. RealPlayer 버전 4.0 및 5.0은 제어 채널 7070 미디어 UDP 포트 6970 - 7170 또는 TCP 포트 7071 또는 HTTP를 사용합니다. RealAudio 플레이어 버전 3.0은 제어 채널 7070 미디어, UDP 포트 6770-7170 또는 TCP 포트 7071을 사용합니다.
실제 제품은 표 2에 표시된 포트와 포트 범위를 사용합니다.
실제 제품 |
포트 사용 |
|---|---|
4.0 및 5.0 서버/플레이어 |
TCP 포트 7070의 제어 채널(양방향). TCP 포트 7070 또는 UDP 포트 6970-7170에서 서버에서 플레이어로의 데이터 채널. |
4.0 및 5.0 서버/인코더 |
TCP 포트 7070의 제어 채널(양방향). TCP 포트 7070의 인코더 또는 서버에서 데이터 채널입니다. |
G2 서버/플레이어 |
TCP 포트 80, 554, 7070 또는 8080의 제어 채널(양방향). TCP 포트 80, 554, 7070, 8080 또는 UDP 포트 6970-32,000에서 서버에서 플레이어로의 데이터 채널. |
G2 서버/3.1 및 5.x 인코더 |
TCP 포트 7070의 제어 채널(양방향). TCP 포트 7070에서 인코더에서 서버로의 데이터 채널입니다. |
G2 서버/G2 생산자 |
TCP 포트 4040의 제어 채널(양방향). TCP 포트 4040 및 UDP 포트 6970-32,000에서 인코더에서 서버로의 데이터 채널입니다. |
2 서버/G2 생산자(TCP만 해당) |
TCP 포트 4040의 제어 채널(양방향) TCP 포트 4040의 인코더에서 서버로의 데이터 채널입니다. 참고: TCP-ONLY 옵션은 버전 6.1 이상에서 사용할 수 있습니다. |
RealAudio는 RealPlayers의 원래 프로토콜이었습니다. 최신 버전의 RealPlayer는 RTSP를 사용합니다. 스테이트풀 방화벽 및 NAT를 사용하려면 TCP 포트 7070에서 ALG RealAudio를 프로그래밍해야 합니다.
Sun RPC 및 RPC Portmap 서비스
원격 프로시저 호출(RPC) ALG는 포트 매핑을 위해 잘 알려진 포트 TCP 111 및 UDP 111을 사용하며, 이는 RPC 서비스를 위한 포트를 동적으로 할당하고 엽니다. RPC Portmap ALG는 포트 요청을 추적하고 이러한 요청된 포트에 대한 방화벽을 동적으로 엽니다. RPC ALG는 허용된 프로그램 번호를 지정하여 RPC 프로토콜을 추가로 제한할 수 있습니다.
ALG에는 표 3에 나열된 RPC 서비스가 포함되어 있습니다.
이름 |
설명 |
코멘트 |
|---|---|---|
|
NFS(Network File Server) 마운트 데몬; 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). |
|
NFS의 일부로 사용됩니다. 자세한 내용은 RFC 1094를 참조하십시오. NFS v3에 대한 RFC1813도 참조하세요. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). |
|
NIS+(Network Information Service Plus)는 NIS를 대체하도록 설계되었습니다. Sun Solaris의 기본 이름 지정 서비스이며 이전 NIS와 관련이 없습니다. 사용할 수 있는 프로토콜 정보가 없습니다. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). |
|
네트워크 잠금 관리자. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
커널 통계 서버. 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
사용자에게 메시지를 쓰는 데 사용됩니다. 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 바인딩 프로세스. 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 암호 서버. 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 서버. 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
네트워크 업데이트 도구. |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
|
NIS 맵 전송 서버. 자세한 내용은 UNIX 매뉴얼 페이지에서 |
기본 지원은 RPC v2 및 포트 111의 포트 매퍼 서비스입니다(RFC 1050 참조). RPC 프로그램 테이블이 빌드 |
포트 매핑을 사용하는 스테이트풀 방화벽 및 네트워크 주소 변환(NAT) 서비스를 지원하려면 TCP/UDP 대상 포트 111에 RPC 포트맵 ALG를 구성하고 TCP와 UDP 모두에 RPC ALG를 구성해야 합니다. 하나 이상의 rpc-program-number 값을 지정하여 허용되는 RPC 프로토콜을 추가로 제한할 수 있습니다.
Rtsp
RTSP(Real-Time Streaming Protocol)는 오디오 및 비디오와 같은 실시간 속성을 가진 데이터 전달을 제어합니다. RTSP에 의해 제어되는 스트림은 RTP를 사용할 수 있지만 필수는 아닙니다. 미디어는 동일한 RTSP 제어 스트림에서 전송될 수 있습니다. 이것은 HTTP와 유사한 텍스트 기반 프로토콜이지만 클라이언트와 서버는 세션 정보를 유지합니다. 세션은 SETUP 메시지를 사용하여 설정되고 TEARDOWN 메시지를 사용하여 종료됩니다. 전송(미디어 프로토콜, 주소 및 포트 번호)은 설정 및 설정-응답에서 협상됩니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 554에 대한 RTSP ALG를 구성해야 합니다.
ALG는 제어 연결을 모니터링하고, 미디어(RTP/RTSP) 스트림에 대한 플로우를 동적으로 열고, NAT 주소 및 포트 재작성을 수행합니다.
Sip
SIP(Session Initiation Protocol)는 미디어 세션을 설정, 유지 관리 및 종료할 수 있는 애플리케이션 계층 프로토콜입니다. 널리 사용되는 VoIP(Voice over IP) 신호 프로토콜입니다. SIP ALG는 SIP 트래픽을 모니터링하고 신호 및 미디어 경로에 핀홀을 동적으로 생성 및 관리합니다. ALG는 올바른 권한이 있는 패킷만 허용합니다. SIP ALG는 다음과 같은 기능도 수행합니다.
부모-자식 세션 관계를 관리합니다.
보안 정책을 적용합니다.
VoIP 트래픽에 대한 핀홀을 관리합니다.
SIP ALG는 다음과 같은 기능을 지원합니다.
스테이트풀 방화벽
정적 소스 NAT
동적 주소만 소스 NAT
NAPT(네트워크 주소 포트 변환 )
SIP 세션은 MS-MIC 및 MS-MPC 인터페이스 카드에서 NAT 처리를 위해 12시간(720분)으로 제한됩니다. MS-DPC의 SIP 세션에는 시간 제한이 없습니다.
Snmp
SNMP는 개별 네트워크 디바이스와 통합 디바이스를 포함하여 TCP/IP 네트워크를 관리하기 위한 통신 프로토콜입니다. 프로토콜은 RFC 1157에 의해 정의됩니다. SNMP는 UDP 위에서 실행됩니다.
Junos OS 스테이트풀 방화벽 서비스는 SNMP ALG를 구현하여 SNMP 유형을 검사합니다. SNMP는 스테이트풀 플로우를 적용하지 않습니다. 각 SNMP 유형을 구체적으로 활성화해야 합니다. 스테이트풀 방화벽 서비스의 전체 SNMP 지원을 위해서는 UDP 포트 161에서 SNMP ALG를 구성해야 합니다. 이를 통해 SNMP get 와 get-next 명령뿐만 아니라 역방향의 응답 트래픽도 활성화됩니다. UDP 포트 161은 SNMP get-response 명령을 활성화합니다. SNMP 트랩이 허용되는 경우 UDP 포트 162에서 SNMP 명령을 활성화하여 구성할 수 있습니다 trap .
SQLNet
SQLNet 프로토콜은 Oracle SQL Server에서 로드 밸런싱 및 애플리케이션별 서비스를 포함하여 클라이언트의 SQL 명령을 실행하는 데 사용됩니다.
스테이트풀 방화벽 및 네트워크 주소 변환(NAT) 서비스를 지원하려면 TCP 포트 1521에 대한 SQLNet ALG를 구성해야 합니다.
ALG는 제어 패킷을 모니터링하고, 데이터 트래픽에 대한 플로우를 동적으로 열며, NAT 주소 및 포트 재작성을 수행합니다.
Tftp
TFTP(Trivial File Transfer Protocol)는 RFC 1350에 지정되어 있습니다. 초기 TFTP 요청은 UDP 대상 포트 69로 전송됩니다. 개별 파일을 가져오거나 넣 기 위해 추가 흐름을 만들 수 있습니다. 스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 대상 포트 69에 대한 TFTP ALG를 구성해야 합니다.
Traceroute
Traceroute는 패킷이 네트워크 호스트로 이동하는 경로를 표시하기 위한 도구입니다. IP TTL(Time-to-Live) 필드를 사용하여 라우터 또는 게이트웨이에서 ICMP 시간 초과 메시지를 트리거합니다. UDP 데이터그램을 사용하지 않는 것으로 여겨지는 대상 포트로 보냅니다. 대상 포트는 + nhops – 1 공식을 사용하여 번호가 매겨집니다. 기본 포트는 33434입니다. 방화벽을 통한 트레이스라우트를 지원하려면 다음 두 가지 유형의 트래픽을 통과해야 합니다.
UDP 프로브 패킷(UDP 대상 포트 > 33000, IP TTL < 30)
ICMP 응답 패킷(ICMP 유형 시간 초과)
NAT가 적용되면 ICMP 오류 패킷 내의 IP 주소와 포트도 변경해야 합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 UDP 대상 포트 33434 - 33450에 대한 Traceroute ALG를 구성해야 합니다. 또한 TTL 값이 큰 UDP 플러드 공격을 방지하기 위해 TTL 임계값을 구성할 수 있습니다.
UNIX 원격 셸 서비스
UNIX 원격 셸 서비스의 기반이 되는 세 가지 프로토콜은 다음과 같습니다.
Exec - 원격 명령 실행. 클라이언트 시스템의 사용자가 원격 시스템에서 명령을 실행할 수 있도록 합니다. 클라이언트(
rcmd)에서 서버(rshd)로의 첫 번째 명령은 잘 알려진 TCP 포트 512를 사용합니다. 의 요청에rcmd따라 두 번째 TCP 연결을 열 수 있습니다. 두 번째 연결을 위한 클라이언트 포트 번호는 ASCII 문자열로 서버에 전송됩니다.로그인 - 더 잘 알려져 있으며
rlogin잘 알려진 TCP 포트 513을 사용합니다. 자세한 내용은 RFC 1282를 참조하십시오. 특별한 방화벽 처리가 필요하지 않습니다.쉘 - 원격 명령 실행; 클라이언트 시스템의 사용자가 원격 시스템에서 명령을 실행할 수 있도록 합니다. 클라이언트(
rcmd)에서 서버(rshd)로의 첫 번째 명령은 잘 알려진 TCP 포트 514를 사용합니다. 의 요청에rcmd따라 두 번째 TCP 연결을 열 수 있습니다. 두 번째 연결을 위한 클라이언트 포트 번호는 ASCII 문자열로 서버에 전송됩니다.
스테이트풀 방화벽 서비스를 지원하려면 TCP 포트 512에서 Exec ALG, TCP 포트 513에서 로그인 ALG, TCP 포트 514에서 Shell ALG를 구성해야 합니다. NAT 원격 셸 서비스를 사용하려면 할당된 모든 동적 소스 포트가 포트 범위 512에서 1023 사이에 있어야 합니다. NAT 풀을 구성하는 경우 이 포트 범위는 원격 셸 애플리케이션 전용으로 예약됩니다.
윈프레임
WinFrame 응용 프로그램 서버 소프트웨어는 클라이언트의 모든 유형에 대한 네트워크 연결의 모든 유형을 통해 거의 모든 Windows 응용 프로그램에 대한 액세스를 제공합니다.
이 프로토콜은 주로 Citrix Windows 응용 프로그램에서 사용됩니다.
스테이트풀 방화벽 및 NAT를 사용하려면 TCP 대상 포트 1494 및 UDP 포트 1604에서 ALG Winframe을 구성해야 합니다.
주니퍼 네트웍스 기본값
Junos OS는 라우터 구성에 자동으로 적용되는 숨겨진 기본 구성 그룹을 junos-defaults 제공합니다. 이 그룹에는 junos-defaults 공통 애플리케이션에 대해 사전 정의된 값을 포함하는 사전 구성된 명령문이 포함되어 있습니다. FTP 또는 Telnet과 같은 애플리케이션과 같은 일부 명령문을 적용하려면 참조해야 합니다. 터미널 설정과 같은 다른 명령문은 자동으로 적용됩니다. 미리 구성된 모든 문은 예약된 이름으로 junos-시작합니다.
Junos OS 기본 구성 값을 재정의할 수 있지만 삭제하거나 편집할 수는 없습니다. 구성을 삭제하면 새 구성이 추가될 때 기본값이 반환됩니다.
Junos OS defaults 그룹에는 명령문을 사용할 apply-groups 수 없습니다.
Junos OS 기본 그룹에서 사용 가능한 사전 설정 명령문의 전체 세트를 보려면 구성 모드 명령을 실행합니다 show groups junos-defaults . 다음 예는 애플리케이션 프로토콜(ALG)을 사용하는 Junos OS 기본 그룹 목록을 표시합니다.
user@host# show groups junos-defaults
applications {
#
# File Transfer Protocol
#
application junos-ftp {
application-protocol ftp;
protocol tcp;
destination-port 21;
}
#
# Trivial File Transfer Protocol
#
application junos-tftp {
application-protocol tftp;
protocol udp;
destination-port 69;
}
#
# RPC portmapper on TCP
#
application junos-rpc-portmap-tcp {
application-protocol rpc-portmap;
protocol tcp;
destination-port 111;
}
#
# RPC portmapper on UDP
#
application junos-rpc-portmap-udp {
application-protocol rpc-portmap;
protocol udp;
destination-port 111;
}
#
# SNMP get
#
application junos-snmp-get {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get;
}
#
# SNMP get next
#
application junos-snmp-get-next {
application-protocol snmp;
protocol udp;
destination-port 161;
snmp-command get-next;
}
#
# SNMP response
#
application junos-snmp-response {
application-protocol snmp;
protocol udp;
source-port 161;
snmp-command get-response;
}
#
# SNMP trap
#
application junos-snmp-trap {
application-protocol snmp;
protocol udp;
destination-port 162;
snmp-command trap;
}
#
# remote exec
#
application junos-rexec {
application-protocol exec;
protocol tcp;
destination-port 512;
}
#
# remote login
#
application junos-rlogin {
application-protocol shell;
protocol tcp;
destination-port 513;
}
#
# remote shell
#
application junos-rsh {
application-protocol shell;
protocol tcp;
destination-port 514;
}
#
# Real Time Streaming Protocol
#
application junos-rtsp {
application-protocol rtsp;
protocol tcp;
destination-port 554;
}
#
# Citrix windows application server protocol
# windows applications remotely on windows/non-windows clients
#
# citrix needs udp 1604 to be open
#
application junos-citrix-winframe {
application-protocol winframe;
protocol tcp;
destination-port 1494;
}
application junos-citrix-winframe-udp {
protocol udp;
destination-port 1604;
}
#
# Oracle SQL servers use this protocol to execute sql commands
# from clients, load balance, use application-specific servers, etc
#
application junos-sqlnet {
application-protocol sqlnet;
protocol tcp;
destination-port 1521;
}
#
# H.323 Protocol for audio/video conferencing
#
application junos-h323 {
application-protocol h323;
protocol tcp;
destination-port 1720;
}
application junos-h323-ras {
application-protocol ras;
protocol udp;
destination-port 1719;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# The ORB protocol in Java virtual machines uses port 1975 as default
#
application junos-iiop-java {
application-protocol iiop;
protocol tcp;
destination-port 1975;
}
#
# Internet Inter-ORB Protocol - used for CORBA applications
# ORBIX is a CORBA framework from Iona Technologies that uses port
# 3075 as default
#
application junos-iiop-orbix {
application-protocol iiop;
protocol tcp;
destination-port 3075;
}
#
# Real players use this protocol for real time streaming
# This was the original protocol for real players.
# RTSP is more widely used by real players
# but they still support realaudio.
#
application junos-realaudio {
application-protocol realaudio;
protocol tcp;
destination-port 7070;
}
#
# traceroute application.
#
application junos-traceroute {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 30;
}
#
# The full range of known RPC programs using UDP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-udp {
application-protocol rpc;
protocol udp;
rpc-program-number 100000-400000;
}
#
# The full range of known RPC programs using TCP
# The program numbers can be more specific to certain applications.
#
application junos-rpc-services-tcp {
application-protocol rpc;
protocol tcp;
rpc-program-number 100000-400000;
}
#
# All ICMP traffic
# This can be made to be more restrictive by specifying ICMP type
# and code.
#
application junos-icmp-all {
application-protocol icmp;
}
#
# Protocol used by Windows media server and windows media player
#
application junos-netshow {
application-protocol netshow;
protocol tcp;
destination-port 1755;
}
#
# NetBIOS - networking protocol used on
# Windows networks name service port, both UDP and TCP
#
application junos-netbios-name-udp {
application-protocol netbios;
protocol udp;
destination-port 137;
}
application junos-netbios-name-tcp {
protocol tcp;
destination-port 137;
}
#
# NetBIOS - networking protocol used on
# Windows networks datagram service port
#
application junos-netbios-datagram {
application-protocol netbios;
protocol udp;
destination-port 138;
}
#
# NetBIOS - networking protocol used on
# Windows networks session service port
#
application junos-netbios-session {
protocol tcp;
destination-port 139;
}
#
# DCE-RPC portmapper on TCP
#
application junos-dce-rpc-portmap {
application-protocol dce-rpc-portmap;
protocol tcp;
destination-port 135;
}
#
# DCE-RPC application on TCP sample UUID
# This application requires user to specify the UUID value
#
# application junos-dcerpc {
# application-protocol dce-rpc;
# protocol tcp;
#
# # UUID also needs to be defined as shown below
# UUID 11223344 22334455 33445566 44556677;
#
# }
#
# ms-exchange needs these 3 UUIDs
#
application junos-dcerpc-endpoint-mapper-service {
application-protocol dce-rpc;
protocol tcp;
uuid e1af8308-5d1f-11c9-91a4-08002b14a0fa;
}
application junos-dcerpc-msexchange-directory-rfr {
application-protocol dce-rpc;
protocol tcp;
uuid 1544f5e0-613c-11d1-93df-00c04fd7bd09;
}
application junos-dcerpc-msexchange-information-store {
application-protocol dce-rpc;
protocol tcp;
uuid a4f1db00-ca47-1067-b31f-00dd010662da;
}
application junos-ssh {
protocol tcp;
destination-port 22;
}
application junos-telnet {
protocol tcp;
destination-port 23;
}
application junos-smtp {
protocol tcp;
destination-port 25;
}
application junos-dns-udp {
protocol udp;
destination-port 53;
}
application junos-dns-tcp {
protocol tcp;
destination-port 53;
}
application junos-tacacs {
protocol tcp;
destination-port 49;
}
# TACACS Database Service
application junos-tacacs-ds {
protocol tcp;
destination-port 65;
}
application junos-dhcp-client {
protocol udp;
destination-port 68;
}
application junos-dhcp-server {
protocol udp;
destination-port 67;
}
application junos-bootpc {
protocol udp;
destination-port 68;
}
application junos-bootps {
protocol udp;
destination-port 67;
}
application junos-finger {
protocol tcp;
destination-port 79;
}
application junos-http {
protocol tcp;
destination-port 80;
}
application junos-https {
protocol tcp;
destination-port 443;
}
application junos-pop3 {
protocol tcp;
destination-port 110;
}
application junos-ident {
protocol tcp;
destination-port 113;
}
application junos-nntp {
protocol tcp;
destination-port 119;
}
application junos-ntp {
protocol udp;
destination-port 123;
}
application junos-imap {
protocol tcp;
destination-port 143;
}
application junos-imaps {
protocol tcp;
destination-port 993;
}
application junos-bgp {
protocol tcp;
destination-port 179;
}
application junos-ldap {
protocol tcp;
destination-port 389;
}
application junos-snpp {
protocol tcp;
destination-port 444;
}
application junos-biff {
protocol udp;
destination-port 512;
}
# UNIX who
application junos-who {
protocol udp;
destination-port 513;
}
application junos-syslog {
protocol udp;
destination-port 514;
}
# line printer daemon, printer, spooler
application junos-printer {
protocol tcp;
destination-port 515;
}
# UNIX talk
application junos-talk-tcp {
protocol tcp;
destination-port 517;
}
application junos-talk-udp {
protocol udp;
destination-port 517;
}
application junos-ntalk {
protocol udp;
destination-port 518;
}
application junos-rip {
protocol udp;
destination-port 520;
}
# INA sanctioned RADIUS port numbers
application junos-radius {
protocol udp;
destination-port 1812;
}
application junos-radacct {
protocol udp;
destination-port 1813;
}
application junos-nfsd-tcp {
protocol tcp;
destination-port 2049;
}
application junos-nfsd-udp {
protocol udp;
destination-port 2049;
}
application junos-cvspserver {
protocol tcp;
destination-port 2401;
}
#
# Label Distribution Protocol
#
application junos-ldp-tcp {
protocol tcp;
destination-port 646;
}
application junos-ldp-udp {
protocol udp;
destination-port 646;
}
#
# JUNOScript and JUNOScope management
#
application junos-xnm-ssl {
protocol tcp;
destination-port 3220;
}
application junos-xnm-clear-text {
protocol tcp;
destination-port 3221;
}
#
# IPsec tunnel
#
application junos-ipsec-esp {
protocol esp;
}
#
#IKE application for IPSec VPN
#
application junos-ike {
application-protocol ike-esp-nat;
protocol udp;
destination-port 500;
}
#
# 'junos-algs-outbound' defines a set of all applications
# requiring an ALG. Useful for defining rule to the the public
# internet allowing private network users to use all JUNOS OS
# supported ALGs initiated from the private network.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-algs-outbound {
application junos-ftp;
application junos-tftp;
application junos-rpc-portmap-tcp;
application junos-rpc-portmap-udp;
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-rexec;
application junos-rlogin;
application junos-rsh;
application junos-rtsp;
application junos-citrix-winframe;
application junos-citrix-winframe-udp;
application junos-sqlnet;
application junos-h323;
application junos-iiop-java;
application junos-iiop-orbix;
application junos-realaudio;
application junos-traceroute;
application junos-rpc-services-udp;
application junos-rpc-services-tcp;
application junos-icmp-all;
application junos-netshow;
application junos-netbios-name-udp;
application junos-netbios-datagram;
application junos-dcerpc-endpoint-mapper-service;
application junos-dcerpc-msexchange-directory-rfr;
application junos-dcerpc-msexchange-information-store;
}
#
# 'junos-management-inbound' represents the group of applications
# that might need access the router from public network for
# for management purposes.
#
# Set is intended for a UI to display management choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set may grow in future JUNOS versions.
#
application-set junos-management-inbound {
application junos-snmp-get;
application junos-snmp-get-next;
application junos-snmp-response;
application junos-snmp-trap;
application junos-ssh;
application junos-telnet;
application junos-http;
application junos-https;
application junos-xnm-ssl;
application junos-xnm-clear-text;
}
#
# 'junos-routing-inbound' represents routing protocols that might
# need to access the router from public network.
#
# Set is intended for a UI to display routing involvement choices.
#
# NOTE: It is not recommended the user to use the entire set
# directly in a firewall rule and open up firewall to all
# of these applications. Also, the user should always
# specify the source and destination prefixes when using
# each application.
#
# NOTE: the contents of this set might grow in future JUNOS OS versions.
#
application-set junos-routing-inbound {
application junos-bgp;
application junos-rip;
application junos-ldp-tcp;
application junos-ldp-udp;
}
application-set junos-h323-suite {
application junos-h323-ras,
application junos-h323;
}
}
그룹에서 사용할 수 있는 junos-defaults 문을 참조하려면 해당 계층 수준에서 선택한 junos-default-name 문을 포함합니다. 응용 프로그램 프로토콜을 구성하려면 응용 프로그램 속성 구성을 참조하십시오. 특정 프로토콜에 대한 자세한 내용은 ALG 설명을 참조하십시오.
예: Junos OS 기본 그룹에서 사전 설정된 명령문 참조
다음 예는 스테이트풀 방화벽에서 FTP에 사용할 수 있는 Junos OS 기본 그룹의 사전 설정 명령문입니다.
[edit]
groups {
junos-defaults {
applications {
application junos-ftp { # Use FTP default configuration
application-protocol ftp;
protocol tcp;
destination-port 21;
}
}
}
Junos OS 기본 그룹에서 사전 설정된 Junos OS 기본 명령문을 참조하려면 해당 계층 수준에서 명령문을 포함합니다junos-default-name. 예를 들어, 스테이트풀 방화벽에서 FTP에 대한 Junos OS 기본 명령문을 참조하려면 계층 수준에서 명령문을 [edit services stateful-firewall rule rule-name term term-name from applications] 포함합니다junos-ftp.
[edit]
services {
stateful-firewall {
rule my-rule {
term my-term {
from {
applications junos-ftp; #Reference predefined statement, junos-ftp,
}
}
}
}
}
다음 예는 기본 Junos IP ALG의 구성을 보여줍니다.
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications junos-ip;
}
then {
accept;
syslog;
}
}
}
}
}
스테이트풀 방화벽 규칙에서 IP ALG를 구성하는 경우 모든 IP 트래픽과 일치하지만, 다른 특정 애플리케이션이 동일한 트래픽과 일치하면 IP ALG가 일치하지 않습니다. 예를 들어, 다음 구성에서는 ICMP ALG 및 IP ALG가 모두 구성되지만, 트래픽이 ICMP 패킷에 대해 일치합니다.
[edit]
services {
stateful-firewall {
rule r1 {
match-direction input;
term t1 {
from {
applications [ junos-ip junos-icmp-all ];
}
then {
accept;
syslog;
}
}
}
}
}
또한보십시오
MS-MIC 및 MS-MPC를 위한 ICMP, Ping 및 Traceroute ALG
Junos OS 릴리스 14.2부터 MS-MIC 및 MS-MPC에 사전 설치 및 구성된 Junos OS 확장 공급자 패키지는 uKernel 서비스가 제공하는 지원과 동일한 일관된 방식으로 핑, 경로 추적 및 ICMP ALG에 대한 지원을 제공합니다. 이러한 ALG에 대한 지원의 패리티 및 균일성은 MS-MIC/MS-MPC와 uKernel 서비스 간에 설정됩니다. Junos OS 릴리스 14.1까지는 uKernel PIC에서 스테이트풀 방화벽(SFW)을 통해 네트워크 주소 변환(NAT)을 지원하는 uKernel 서비스와 비교하여 MS-MIC 및 MS-MPC가 있는 MX 시리즈 라우터에서 ICMP ALG, ping ALG 및 traceroute ALG가 완전히 지원되지 않았습니다. 반대 방향의 기존 흐름과 일치하는 ICMP 오류 응답 패킷의 처리 및 ping 패킷의 NAT 처리를 통한 ICMP 패킷의 NAT 처리에 대한 지원이 가능했습니다.
MS-MIC 및 MS-MPC가 있는 MX 시리즈 라우터에서는 ICMP 시퀀스 번호를 사용하여 핑 트래픽 상태를 추적(예: 해당 시퀀스 번호의 에코 요청이 식별된 경우에만 에코 응답 전달)이 지원됩니다. ICMP ALG(Application Layer Gateway)는 자세한 로깅 정보를 제공하도록 향상되었습니다. 또한 traceroute ALG를 사용하면 UDP 대상 포트 번호가 33000보다 크고 IP TTL(Time-to-Live)이 30초 미만인 UDP 프로브 패킷을 처리할 수 있습니다. 경로 추적 ALG는 ICMP 유형이 시간 초과된 ICMP 응답 패킷을 처리하고 추적 라우팅에 대해 허용 가능한 네트워크 침투 수준을 제어하는 traceroute TTL 임계값을 지원할 수 있도록 합니다.
및 계층 수준에서 , , 및 문을 [edit services stateful-firewall rule rule-name term term-name from] [edit services nat rule rule-name term term-name from] 사용하여 application junos-icmp-allapplication junos-icmp-pingICMP 및 ping 메시지를 구성하여 스테이트풀 방화벽 및 application icmp-code NAT 규칙에 대한 일치 조건을 정의할 수 있습니다. Junos OS 릴리스 14.1까지는 ICMP 메시지에 대해 정의할 수 있는 애플리케이션에 대한 제한이나 검증이 존재하지 않았습니다. MS-MIC 및 MS-MPC는 uKernel 서비스와 동일한 방식으로 작동하므로 ICMP 시퀀스 번호를 사용하여 핑 트래픽이 스테이트풀로 추적됩니다(에코 응답은 해당 시퀀스 번호와 에코 요청이 일치하는 경우에만 전달됩니다). 또한 MS-MIC 및 MS-MPC는 미해결 핑 요청에 제한을 두고 제한에 도달하면 후속 핑 요청을 삭제합니다.
마찬가지로 traceroute 메시지의 경우 및 [edit services nat rule rule-name term term-name from] 계층 수준에서 및 문을 [edit services stateful-firewall rule rule-name term term-name from] 구성 application junos-traceroute 하여 스테이트풀 방화벽 및 application junos-traceroute-ttl-1 NAT 규칙에 대한 traceroute 메시지에 대한 일치 조건을 정의할 수 있습니다.
경로 추적 및 ICMP 메시지는 IPv4 및 IPv6 패킷 모두에 대해 지원됩니다. 경로 추적 기능이 작동하려면 사용자 정의 애플리케이션이 비활성 시간 초과 기간으로 예상대로 작동하고 TTL 임계값이 계층 수준에서 문을 [edit services application-identification application application-name] 사용하여 session-timeout seconds 구성된 것과 동일한 기간으로 구성되었는지 확인하기만 하면 됩니다. ICMP 메시지를 로깅하는 동안 ping 및 ICMP 유틸리티에 대한 ALG 정보는 uKernel 로깅에 표시된 것과 동일한 방식으로 및 와 show conversations같은 show sessions 관련 표시 명령의 출력에 표시됩니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.