Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

논리적 시스템용 ALG

논리적 시스템의 ALG(애플리케이션 레이어 게이트웨이)를 사용하면 게이트웨이가 애플리케이션 레이어 페이로드를 구문 분석하고 애플리케이션 서버에 대한 트래픽을 허용할지 또는 거부할지 결정할 수 있습니다. ALG는 애플리케이션 레이어 페이로드를 사용하여 애플리케이션이 데이터 연결을 여는 동적 전송 제어 프로토콜(TCP) 또는 사용자 데이터그램 프로토콜(UDP) 포트를 통신하는 FTP(전송 프로토콜) 및 다양한 IP 프로토콜과 같은 애플리케이션을 지원합니다. 자세한 내용은 다음 항목을 참조하십시오.

논리적 시스템의 애플리케이션 레이어 게이트웨이(ALG) 이해

주 관리자는 루트 수준에서 ALG를 구성할 수 있습니다. 구성은 모든 사용자 논리적 시스템에 의해 상속됩니다. ALG는 또한 사용자 논리적 시스템에 대해 개별적으로 구성할 수 있습니다. ALG 상태는 모든 사용자 논리적 시스템에 상속되는 것은 아닙니다. 새로 생성된 논리적 시스템의 경우, ALG는 기본 상태로 구성됩니다. FTP 프로토콜 ALG는 특정 논리적 시스템에 대해 활성화하거나 비활성화할 수 있습니다. ICMP ALG 프로토콜은 기본적으로 활성화되며 비활성화하도록 프로비저닝되지 않습니다.

참고:

SRX 시리즈 방화벽이 18.2 릴리스로 업그레이드되면 이전 상태와 비교할 때 논리적 시스템의 ALG 상태가 변경됩니다. 이 변경은 논리적 시스템의 ALG 트래픽에 영향을 미칩니다. 예를 들어, 업그레이드 전에 H.323 ALG는 루트로 활성화하도록 구성됩니다. 따라서 H.323 ALG는 lsys1에서도 활성화됩니다. 18.2로 업그레이드한 후, H.323의 기본 상태가 새 논리적 시스템에 대해 비활성화되었기 때문에 lsys1의 H.323 ALG 상태가 비활성화됩니다.
참고:

하나의 특정 논리적 시스템에 대해서만 특정 ALG를 활성화할 수 있습니다.

기본적으로 다음 ALG는 루트 논리적 시스템에서 활성화됩니다.

  • DNS

  • FTP

  • MSRPC

  • PPTP

  • 선RPC

  • 대화

  • TFTP

Junos OS 릴리스 18.2R1부터 각 논리적 시스템에 대한 ALG 구성을 개별적으로 활성화 또는 비활성화할 수 있으며 모든 논리적 시스템 또는 특정 논리적 시스템에 대한 ALG의 상태를 볼 수 있습니다. 논리적 시스템에서 12개의 데이터 ALG(DNS, FTP, TFTP, MSRPC, SUNRPC, PPTP, RSH, RTSP, TALK, SQL, IKE, TWAMP)와 4개의 VOIP ALG(SIP, H.323, MGCP, SCCP)가 모두 지원됩니다.

또한보십시오

논리적 시스템에 대한 ALG 활성화 및 비활성화

이 주제는 각 논리적 시스템에 대한 ALG 상태를 활성화 또는 비활성화하는 방법을 보여줍니다.

  1. 기본적으로 IKE ALG는 논리적 시스템에서 비활성화됩니다. 이 ALG를 활성화하려면 다음 명령을 사용합니다.

    • 네트워크 주소 변환(NAT)을 통해 IKE(Internet Key Exchange) 및 ESP ALG를 활성화합니다.

  2. 기본적으로 DNS, FTP, PPTP, SIP, SUNRPC 및 TWAMP ALG는 논리적 시스템에서 활성화됩니다. 이러한 ALG를 비활성화하려면 다음 명령을 사용합니다.

    • DNS ALG를 비활성화합니다.

    • FTP ALG를 비활성화합니다.

    • H323 ALG를 비활성화합니다.

    • MGCP ALG를 비활성화합니다.

    • MSRPC ALG를 비활성화합니다.

    • PPTP ALG를 비활성화합니다.

    • RSH ALG를 비활성화합니다.

    • RTSP ALG를 비활성화합니다.

    • SCCP ALG를 비활성화합니다.

    • SIP ALG를 비활성화합니다.

    • SQL ALG를 비활성화합니다.

    • SUNRPC ALG를 비활성화합니다.

    • TALK ALG를 비활성화합니다.

    • TFTP ALG를 비활성화합니다.

  3. 논리적 시스템에서 ALG 기능 구성.

    • DNS ALG를 구성합니다.

    • FTP ALG를 구성합니다.

    • H323 ALG를 구성합니다.

    • NAT를 사용하여 IKE 및 ESP ALG를 구성합니다.

    • MGCP ALG를 구성합니다.

    • MSRPC ALG를 구성합니다.

    • PPTP ALG를 구성합니다.

    • RSH ALG를 구성합니다.

    • RTSP ALG를 구성합니다.

    • SCCP ALG를 구성합니다.

    • SIP ALG를 구성합니다.

    • SQL ALG를 구성합니다.

    • SUNRPC ALG를 구성합니다.

    • TALK ALG를 구성합니다.

    • TFTP ALG를 구성합니다.

    • TWAMP ALG를 구성합니다.

    • FTP ALG에 대한 확장 기능을 구성합니다.

    • MSRPC ALG에 대한 확장 기능을 구성합니다.

    • SUNRPC ALG에 대한 확장 기능을 구성합니다.

    • SIP ALG에 대한 확장 기능을 구성합니다.

예: 논리적 시스템에서 FTP ALG 활성화

이 예는 논리적 시스템에서 FTP ALG 구성을 활성화 또는 비활성화하고 논리적 시스템의 FTP ALG 구성을 기반으로 개별적으로 트래픽을 전송하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

개요

이 예에서 FTP용 ALG는 논리적 시스템의 클라이언트와 서버 간에 FTP 트래픽이 교환될 수 있도록 모니터링하고 허용하도록 구성됩니다.

기본적으로 FTP ALG는 논리적 시스템에서 활성화됩니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

논리적 시스템에서 FTP ALG 구성

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

사용자 논리적 시스템에서 ALG를 구성하려면:

  1. 보안 프로필을 구성합니다.

  2. 기본 논리적 시스템을 구성합니다.

    단계별 절차

    1. 기본 논리적 시스템 생성

    2. 기본 논리 시스템에 대한 인터페이스를 구성하고 LSYS0에 대한 논리 터널 인터페이스 및 라우팅 인스턴스를 구성합니다.

    3. 보안 프로필 p1을 구성하고 이를 루트 논리적 시스템 LSYS0에 할당합니다.

  3. 사용자 논리적 시스템을 구성합니다.

    단계별 절차

    1. 사용자 논리적 시스템 LSYS1을 생성합니다

    2. 논리적 시스템 내에서 트래픽을 전송하도록 사용자 논리적 및 논리적 터널 인터페이스를 구성합니다.

    3. LSYS1에 보안 프로파일 p1을 할당합니다.

    4. 보안 영역을 구성하고 각 영역에 인터페이스를 할당합니다.

  4. LSYS1_tzone에서 LSYS1_utzone로의 FTP 트래픽을 허용하는 보안 정책을 구성합니다.

결과

구성 모드에서 를 입력 show logical-systems하여 LSYS0 및 LSYS1의 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

사용자 논리적 시스템에 대한 ALG 상태 확인

목적

FTP에 대한 alg 상태가 활성화되었는지 확인합니다.

작업

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show security alg status logical-system LSYS1

의미

출력에는 논리적 시스템 LSYS1에 대한 FTP 활성화에 대한 alg 상태가 표시됩니다.

모든 논리적 시스템에 대한 ALG 상태 확인

목적

디바이스의 모든 논리적 시스템에 대한 ALG 상태를 확인합니다.

작업

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다.show security alg status logical-system all

의미

출력은 디바이스의 모든 논리적 시스템에 대한 ALG 상태를 표시합니다.

논리적 시스템에서 논리적 시스템 내 트래픽 확인

목적

리소스 관리자를 통해 생성된 활성 리소스, 클라이언트, 그룹 및 세션에 대한 정보를 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show security resource-manager summary

의미

출력에는 리소스 관리자를 통해 생성된 활성 리소스, 클라이언트, 그룹 및 세션에 대한 요약 정보가 표시됩니다.

또한보십시오

관련 설명서