Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ALG 페이지 정보

현재 위치: 보안 서비스 > ALG.

이 페이지에서 ALG(Application Layer Gateway)를 구성할 수 있습니다.

필드 설명

표 1 은 ALG 페이지의 필드를 설명합니다.

구성이 완료되면 OK(확인 )를 클릭하여 변경 사항을 저장하거나 Reset( 재설정 )을 클릭하여 변경 사항을 되돌립니다.

표 1: ALG 페이지의 필드

필드

설명

주요

PPTP 사용

ALG에 대한 PPTP(Point-to-Point Tunneling Protocol)를 활성화하려면 확인란을 선택합니다.

PPTP는 TCP/IP 네트워크를 통해 PPP 데이터를 터널링하는 계층 2 프로토콜입니다. PPTP 클라이언트는 Windows 시스템에서 무료로 사용할 수 있으며 VPN 구축을 위해 널리 배포됩니다.

RSH 사용

ALG에 대해 RSH를 활성화하려면 확인란을 선택합니다.

RSH ALG는 포트 514로 향하는 TCP 패킷을 처리하고 RSH 포트 명령을 처리합니다. RSH ALG는 port 명령의 포트에서 NAT를 수행하고 필요에 따라 게이트를 엽니다.

RTSP 사용

ALG에 대한 실시간 스트리밍 프로토콜(RTSP)을 활성화하려면 확인란을 선택합니다.

SQL 사용

ALG에 대해 SQL(Structured Query Language)을 활성화하려면 확인란을 선택합니다.

SQLNET ALG는 서버 쪽에서 SQL TNS 응답 프레임을 처리합니다. 패킷을 구문 분석하고 (HOST=ipaddress), (PORT=port) 패턴을 찾고 TCP 데이터 채널에 대해 클라이언트 측에서 NAT 및 게이트 개방을 수행합니다.

TALK 활성화

ALG에 대한 TALK 프로토콜을 활성화하려면 확인란을 선택합니다.

TALK 프로토콜은 제어 채널 연결에 UDP 포트 517 및 포트 518을 사용합니다. 토크 프로그램은 서버와 클라이언트로 구성됩니다. 서버는 클라이언트 알림을 처리하고 대화 세션을 설정하는 데 도움을 줍니다. 토크 서버에는 ntalk와 talkd의 두 가지 유형이 있습니다. TALK ALG는 ntalk 및 talkd 형식의 패킷을 모두 처리합니다. 또한 필요에 따라 NAT 및 게이트 개방을 수행합니다.

TFTP 활성화

ALG에 대한 TFTP(Trivial File Transfer Protocol)를 활성화하려면 확인란을 선택합니다.

TFTP ALG는 요청을 시작하는 TFTP 패킷을 처리하고 역방향에서 요청을 보내는 포트로 패킷을 반환할 수 있도록 게이트를 엽니다.

Dns

DNS 사용

ALG에 대한 DNS(Domain Name System)를 활성화하려면 확인란을 선택합니다.

DNS ALG는 DNS 쿼리 및 응답 패킷을 모니터링하고 DNS 플래그가 패킷이 응답 메시지임을 나타내면 세션을 닫습니다.

닥터링

다음 옵션 중 하나를 선택합니다.

  • 온전성 검사—DNS ALG 위생 검사만 수행합니다.

  • 없음—모든 DNS ALG doctoring을 비활성화합니다.

최대 메시지 길이

숫자를 선택하여 최대 DNS 메시지 길이를 지정합니다.

범위: 512바이트에서 8192바이트까지.

너무 큰 메시지 삭제를 사용하도록 설정합니다.

확인란을 선택하여 크기가 큰 메시지 드롭을 사용하도록 설정합니다.

Ftp

FTP 사용

ALG에 대한 FTP(File Transfer Protocol)를 활성화하려면 확인란을 선택합니다.

FTP ALG는 PORT, PASV 및 227 명령을 모니터링합니다. 메시지의 IP/포트에서 NAT(Network Address Translation)를 수행하고 필요에 따라 디바이스의 게이트를 엽니다. FTP ALG는 FTP put 및 FTP get 명령 차단을 지원합니다. 정책에 FTP_NO_PUT 또는 FTP_NO_GET 설정되면 FTP ALG는 차단 명령을 다시 전송하고 FTP STOR 또는 FTP RETR 명령을 감지하면 연결된 열린 게이트를 닫습니다.

IP 주소 불일치 허용 활성화

IP 주소의 불일치를 허용하려면 확인란을 선택합니다.

FTP 확장 사용

보안 FTP 및 FTP SSL 프로토콜을 사용하려면 확인란을 선택합니다.

줄 바꿈 확장 사용

확인란을 선택하여 줄 바꿈 확장을 사용하도록 설정합니다.

이 옵션을 사용하면 FTP ALG가 표준 CR+LF(캐리지 리턴, 줄 바꿈) 외에도 LF를 줄 바꿈으로 인식할 수 있습니다.

H323

H323 사용

확인란을 선택하여 H.323 ALG를 활성화합니다.

신청 화면

H.323 프로토콜 ALG에 대한 보안 화면을 지정합니다.

다음 세부 정보를 입력합니다.

  • Message Flood Gatekeeper Threshold(메시지 플러드 게이트키퍼 임계값) - 값을 입력합니다. 값 범위는 초당 1개에서 50000개 메시지까지입니다.

    게이트키퍼에 대한 RAS(원격 액세스 서버) 요청이 처리되는 초당 속도를 제한합니다. 임계값을 초과하는 메시지는 삭제됩니다. 이 기능은 기본적으로 비활성화되어 있습니다.

  • 알 수 없는 메시지 수신에 대한 작업:

    • Enable Permit NAT Applied(NAT 적용 허용) - 디바이스에서 식별되지 않은 H.323(지원되지 않는) 메시지를 처리하는 방법을 지정하려면 확인란을 선택합니다.

      기본값은 알 수 없는 메시지를 삭제하는 것입니다. 알 수 없는 메시지를 허용하면 보안이 손상될 수 있으므로 권장되지 않습니다. 그러나 안전한 테스트 또는 프로덕션 환경에서 이 명령문은 서로 다른 공급업체 장비와의 상호 운용성 문제를 해결하는 데 유용할 수 있습니다. 알 수 없는 H.323 메시지를 허용하면 네트워크를 운영하고 나중에 VoIP 트래픽을 분석하여 일부 메시지가 삭제된 이유를 확인할 수 있습니다.

      이 명령문은 지원되는 VoIP 패킷으로 식별된 수신 패킷에만 적용됩니다. 패킷을 식별할 수 없는 경우 항상 삭제됩니다. 패킷이 지원되는 프로토콜로 식별되면 메시지가 처리되지 않고 전달됩니다.

    • Enable Permit Routed(라우팅 허용 활성화) - 확인란을 선택하여 세션이 경로 모드에 있는 경우 알 수 없는 메시지가 통과하도록 지정합니다.

      투명 모드의 세션은 경로 모드에 있는 것처럼 처리됩니다.

DSCP 코드 재작성

코드 포인트(Code Point) - 목록에서 6비트 문자열을 선택합니다.

VoIP ALG(Voice over IP Application Layer Gateway)를 통과하는 트래픽에 대한 재작성 규칙을 지정합니다. 코드 포인트의 값은 이진 형식입니다.

VoIP 재작성 규칙은 혼잡한 네트워크에서 VoIP 품질을 개선하는 DSCP(Differentiated Services Code Point) 메커니즘을 통해 나가는 패킷의 적절한 CoS(Class of Service) 비트를 수정합니다.

끝점

다음 세부 정보를 입력합니다.

  • 엔드포인트에 대한 시간 초과 - NAT 테이블의 항목에 대한 시간 초과 값을 초 단위로 입력합니다.

    범위: 10초에서 50,000초

    NAT 테이블의 항목 기간을 제어합니다.

  • Enable Media From Any Source Port(모든 소스 포트에서 미디어 허용) - 모든 포트 번호의 미디어 트래픽을 허용하려면 이 옵션을 선택합니다.

IKE-ESP

IKE-ESP 활성화

확인란을 선택하여 IKE-ESP를 사용하도록 설정합니다.

ESP 게이트 시간 초과(초)

2초에서 30초 사이의 게이트 시간 초과를 선택합니다.

ESP 세션 시간 제한(초)

60초에서 2400초 사이의 ESP 시간 제한 세션을 선택합니다.

ALG 상태 시간 제한(초)

ALG 상태 시간 제한을 180초에서 86400초로 선택합니다.

증권 시세 표시기

MGCP 활성화

확인란을 선택하여 MGCP(Media Gateway Control Protocol)를 사용하도록 설정합니다.

비활성 미디어 시간 초과

활동이 감지되지 않을 경우 방화벽의 임시 개구부(핀홀)가 미디어에 대해 열려 있는 최대 시간을 지정하려면 값을 선택합니다. 범위는 10초에서 2,550초 사이입니다.

그룹 내에서 미디어(RTP 또는 RTCP) 트래픽 없이 통화가 활성 상태를 유지할 수 있는 최대 시간(초)을 지정합니다. 통화 내에서 RTP 또는 RTCP 패킷이 발생할 때마다 이 시간 제한이 재설정됩니다. 비활성 기간이 이 설정을 초과하면 미디어에 대해 열린 방화벽 MGCP ALG의 임시 개구부(핀홀)가 닫힙니다. 기본 설정은 120초입니다. 범위는 10초에서 2550초 사이입니다. 시간 초과 시 미디어에 대한 리소스(세션 및 핀홀)가 제거되는 동안 통화는 종료되지 않습니다.

최대 통화 시간

3분에서 720분 사이의 값을 선택합니다.

통화의 최대 길이를 설정합니다. 통화가 이 매개변수 설정을 초과하면 MGCP ALG는 통화를 중단하고 미디어 세션을 해제합니다. 기본 설정은 720분입니다. 범위는 3분에서 720분 사이입니다.

트랜잭션 시간 초과

3초에서 50초 사이의 값을 입력하여 지정합니다.

MGCP 트랜잭션에 대한 시간 제한 값을 지정합니다. 트랜잭션은 신호 메시지(예: 게이트웨이에서 통화 에이전트로의 NTFY 또는 통화 에이전트에서 게이트웨이로의 200 OK)입니다. 디바이스는 이러한 트랜잭션을 추적하고 시간이 초과되면 지웁니다.

신청 화면

다음 세부 정보를 입력합니다.

  • Message Flood Threshold(메시지 플러드 임계값) - 미디어 게이트웨이당 2초에서 50,000초 사이의 값을 입력합니다.

    미디어 게이트웨이에 대한 메시지 요청이 처리되는 초당 속도를 제한합니다. 임계값을 초과하는 메시지는 MGCP(Media Gateway Control Protocol)에 의해 삭제됩니다. 이 기능은 기본적으로 비활성화되어 있습니다.

  • Connection Flood Threshold(연결 플러드 임계값) - 2에서 10,000 사이의 값을 입력합니다.

    초당 MG(미디어 게이트웨이)당 허용되는 새 연결 요청 수를 제한합니다. ALG를 초과하는 메시지.

  • Action On Receiving Unknown Message(알 수 없는 메시지 수신 시 작업) - 다음 중 하나를 입력합니다.

    • Enable Permit NAT Applied(NAT 적용 허용) - 확인란을 선택하여 식별되지 않은 MGCP 메시지를 주니퍼 네트웍스 디바이스에서 처리하는 방법을 지정합니다.

      기본값은 알 수 없는(지원되지 않는) 메시지를 삭제하는 것입니다. 알 수 없는 메시지를 허용하면 보안이 손상될 수 있으므로 권장되지 않습니다. 그러나 안전한 테스트 또는 프로덕션 환경에서 이 명령문은 서로 다른 공급업체 장비와의 상호 운용성 문제를 해결하는 데 유용할 수 있습니다. 알 수 없는 MGCP(지원되지 않는) 메시지를 허용하면 네트워크를 운영하고 나중에 VoIP 트래픽을 분석하여 일부 메시지가 삭제된 이유를 확인할 수 있습니다.

    • Enable Permit Routed(라우팅 허용 활성화) - 확인란을 선택합니다.

      세션이 라우트 모드에 있는 경우 알 수 없는 메시지가 전달되도록 지정합니다. (투명 모드의 세션은 경로 모드로 처리됩니다.)

DSCP 코드 재작성

다시 쓰기 규칙의 전달 클래스에 적용할 코드 포인트 별칭 또는 비트 집합을 지정합니다.

Code Point(코드 포인트) - 6비트 DSCP 코드 포인트 값을 입력합니다.

MSRPC

MSRPC 사용

MSRPC를 사용하도록 설정하려면 확인란을 선택합니다.

한 호스트에서 실행 중인 프로그램이 다른 호스트에서 실행 중인 프로그램의 프로시저를 호출할 수 있는 메서드를 제공합니다. RPC 서비스 수가 많고 브로드캐스트해야 하기 때문에 RPC 서비스의 전송 주소는 서비스 프로그램의 UUID(Universal Unique IDentifier)에 따라 동적으로 협상됩니다. 특정 UUID는 전송 주소에 매핑됩니다.

최대 그룹 사용량(%)

10%에서 100% 사이의 그룹 사용률(%)을 선택합니다.

맵 입력 시간 초과(분)

5분에서 4320분 사이의 맵 항목 시간 제한 세션을 선택합니다.

Sccp

SCCP 활성화

확인란을 선택하여 Skinny Client Control Protocol을 사용하도록 설정합니다.

비활성 미디어 시간 초과

10초에서 600초 사이의 값을 선택합니다.

그룹 내에서 미디어(RTP 또는 RTCP) 트래픽 없이 통화가 활성 상태를 유지할 수 있는 최대 시간(초)을 나타냅니다. 통화 내에서 RTP 또는 RTCP 패킷이 발생할 때마다 이 시간 제한이 재설정됩니다. 비활성 기간이 이 설정을 초과하면 미디어에 대해 열린 게이트가 닫힙니다.

신청 화면

Call Flood Threshold(통화 플러드 임계값) - 2에서 1,000 사이의 값을 선택합니다.

SCCP ALG 클라이언트가 처리하려는 통화 수를 제한하여 플러드 공격으로부터 보호합니다.

알 수 없는 메시지 수신에 대한 작업

  • Enable Permit NAT Applied(NAT 적용 허용) - 확인란을 선택합니다.

    식별되지 않은 SCCP 메시지가 디바이스에서 처리되는 방식을 지정합니다. 기본값은 알 수 없는(지원되지 않는) 메시지를 삭제하는 것입니다. 알 수 없는 메시지를 허용하면 보안이 손상될 수 있으므로 권장되지 않습니다. 그러나 안전한 테스트 또는 프로덕션 환경에서 이 명령문은 서로 다른 공급업체 장비와의 상호 운용성 문제를 해결하는 데 유용할 수 있습니다. 알 수 없는 SCCP(지원되지 않는) 메시지를 허용하면 네트워크를 운영하고 나중에 VoIP 트래픽을 분석하여 일부 메시지가 삭제된 이유를 확인할 수 있습니다.

    이 명령문은 지원되는 VoIP 패킷으로 식별된 수신 패킷에만 적용됩니다. 패킷을 식별할 수 없는 경우 항상 삭제됩니다. 패킷이 지원되는 프로토콜로 식별되면 메시지가 처리되지 않고 전달됩니다.

  • Enable Permit Routed(라우팅 허용 활성화) - 확인란을 선택합니다.

    세션이 라우트 모드에 있는 경우 알 수 없는 메시지가 전달되도록 지정합니다. (투명 모드의 세션은 경로 모드에 있는 것처럼 처리됩니다.)

DSCP 코드 재작성

Code Point(코드 포인트) - 6비트 DSCP 코드 포인트 값을 입력합니다.

Sip

SIP 사용

확인란을 선택하여 SIP(Session Initiation Protocol)를 사용하도록 설정합니다.

리소스 보존 보류 사용

미디어 스트림이 보류 중인 경우에도 장치에서 SIP를 위해 미디어 리소스를 해제할지 여부를 설정하려면 확인란을 선택합니다.

기본적으로 미디어 스트림 리소스는 미디어 스트림이 보류될 때 해제됩니다.

최대 통화 시간

3분에서 720분 사이의 값을 선택합니다.

통화의 절대 최대 길이를 설정합니다. 통화가 이 매개변수 설정을 초과하면 SIP ALG는 통화를 중단하고 미디어 세션을 해제합니다. 기본 설정은 720분이고 범위는 3분에서 720분 사이입니다.

C 시간 초과

3분에서 10분 사이의 값을 선택합니다.

프록시에서 INVITE 트랜잭션 제한 시간을 분 단위로 지정합니다. 기본값은 3입니다. SIP ALG가 중간에 있기 때문에 INVITE 트랜잭션 타이머 값 B((64 * T1) = 32초)를 사용하는 대신 SIP ALG는 프록시에서 타이머 값을 가져옵니다.

T4 간격

5초에서 10초 사이의 값을 선택합니다.

메시지가 네트워크에 남아 있는 최대 시간을 지정합니다. 기본값은 5초입니다. 범위는 5초에서 10초 사이입니다. 많은 SIP 타이머가 RFC 3261에 설명된 대로 T4-Interval로 확장되므로 T4-Interval 타이머의 값을 변경하면 해당 SIP 타이머도 조정됩니다.

비활성 미디어 시간 초과

10초에서 2,550초 사이의 값을 선택합니다.

그룹 내에서 미디어(RTP 또는 RTCP) 트래픽 없이 통화가 활성 상태를 유지할 수 있는 최대 시간(초)을 지정합니다. 통화 내에서 RTP 또는 RTCP 패킷이 발생할 때마다 이 시간 제한이 재설정됩니다. 비활성 기간이 이 설정을 초과하면 미디어에 대해 열린 방화벽 SIP ALG의 임시 개구부(핀홀)가 닫힙니다. 기본 설정은 120초입니다. 범위는 10초에서 2550초까지입니다. 시간 초과 시 미디어에 대한 리소스(세션 및 핀홀)가 제거되는 동안 통화는 종료되지 않습니다.

T1 간격

500밀리초에서 5000밀리초 사이의 값을 선택합니다.

끝점 간 트랜잭션의 예상 왕복 시간(초)을 지정합니다. 기본값은 500밀리초입니다. 많은 SIP 타이머가 T1 간격(RFC 3261에 설명된 대로)으로 확장되므로 T1 간격 타이머의 값을 변경하면 해당 SIP 타이머도 조정됩니다.

신청 화면

알 수 없는 메시지 수신에 대한 조치:

  • Enable Permit NAT Applied(NAT 적용 허용) - 디바이스에서 식별되지 않은 SIP 메시지를 처리할 수 있도록 하려면 확인란을 선택합니다.

    이 명령문은 지원되는 VoIP 패킷으로 식별된 수신 패킷에만 적용됩니다. 패킷을 식별할 수 없는 경우 항상 삭제됩니다. 패킷이 지원되는 프로토콜로 식별되면 메시지가 처리되지 않고 전달됩니다.

  • Enable Permit Routed(라우팅 허용 활성화) - 세션이 경로 모드인 경우 알 수 없는 메시지가 전달되도록 허용하려면 활성화하려면 확인란을 선택합니다. (투명 모드의 세션은 경로 모드로 처리됩니다.)

보호 옵션

  • SIP 초대 공격 테이블 항목 시간 초과 - 1초에서 3,600초 사이의 값을 입력합니다.

    애플리케이션 화면에 나열된 각 INVITE에 대해 공격 테이블을 작성하는 데 걸리는 시간(초)을 지정합니다.

  • Enable Attack Protection(공격 보호 활성화) - All Servers(모든 서버), Selected Servers(선택한 서버) 또는 None(없음) 옵션 중 하나를 선택합니다.

    INVITE 공격으로부터 서버를 보호합니다. 일부 또는 모든 대상 IP 주소에서 INVITE 공격으로부터 서버를 보호하도록 SIP 응용 프로그램 화면을 구성합니다.

    선택한 서버를 선택할 때 대상 IP 주소를 입력하고 +를 클릭합니다. 대상 IP 주소를 선택하고 X 를 클릭하여 삭제할 수 있습니다.

DSCP 코드 재작성

Code Point(코드 포인트) - 6비트 DSCP 코드 포인트 값을 입력합니다.

선RPC

SUNRPC 활성화

확인란을 선택하여 SUNRPC를 활성화합니다.

RPC 서비스의 수가 많고 브로드캐스트해야 하기 때문에 RPC 서비스의 전송 주소는 서비스의 프로그램 번호와 버전 번호에 따라 동적으로 협상됩니다. RPC 프로그램 번호와 버전 번호를 전송 주소에 매핑하기 위해 몇 가지 바인딩 프로토콜이 정의됩니다.

최대 그룹 사용량(%)

10%에서 100% 사이의 최대 그룹 사용률(%)을 선택합니다.

맵 항목 시간 초과

5분에서 4320분 사이의 맵 항목 시간 제한 세션을 선택합니다.