Acerca de la página de ALG

Habilitar PPTP

Active la casilla de verificación para habilitar el protocolo de tunelización de punto a punto (PPTP) para ALG.

PPTP es un protocolo de capa 2 que tuneliza los datos PPP a través de redes TCP/IP. El cliente PPTP está disponible gratuitamente en sistemas Windows y se despliega ampliamente para crear VPN.

Habilitar RSH

Active la casilla de verificación para habilitar RSH para ALG.

RSH ALG maneja paquetes TCP destinados al puerto 514 y procesa el comando de puerto RSH. El ALG RSH realiza TDR en el puerto en el comando de puerto y abre puertas según sea necesario.

Habilitar RTSP

Active la casilla de verificación para habilitar el Protocolo de transmisión en tiempo real (RTSP) para ALG.

Habilitar SQL

Active la casilla de verificación para habilitar lenguaje de consulta estructurado (SQL) para ALG.

ALG de SQLNET procesa las tramas de respuesta TNS de SQL desde el lado del servidor. Analiza el paquete y busca el patrón (HOST=ipaddress), (PUERTO=puerto) y realiza TDR y apertura de puerta en el lado del cliente para el canal de datos TCP.

Habilitar TALK

Active la casilla de verificación para habilitar el protocolo TALK para ALG.

El protocolo TALK usa los puertos UDP 517 y 518 para conexiones de canal de control. El programa de conversación consta de un servidor y un cliente. El servidor maneja las notificaciones del cliente y ayuda a establecer sesiones de conversación. Hay dos tipos de servidores de conversación: ntalk y talkd. TALK ALG procesa paquetes de formatos ntalk y talkd. También realiza TDR y apertura de puerta según sea necesario.

Habilitar TFTP

Active la casilla de verificación para habilitar el Protocolo de transferencia de archivos triviales (TFTP) para ALG.

TFTP ALG procesa paquetes TFTP que inician una solicitud y abren una puerta para permitir que los paquetes devueltos desde la dirección inversa hasta el puerto que envía la solicitud.

Habilitar DNS

Active la casilla de verificación para habilitar el sistema de nombres de dominio (DNS) para ALG.

La ALG DNS monitorea los paquetes de respuesta y consulta DNS y cierra la sesión si la marca DNS indica que el paquete es un mensaje de respuesta.

Rascador

Seleccione una de las siguientes opciones:

• Comprobación de cordura: solo realiza comprobaciones de cordura de DNS ALG.

• Ninguno: deshabilita toda la medición de DNS ALG.

Longitud máxima del mensaje

Seleccione un número para especificar la longitud máxima del mensaje DNS.

Rango: de 512 a 8192 bytes.

Habilite la caída de mensajes de tamaño excesivo.

Active la casilla de verificación para habilitar la caída de mensajes de tamaño excesivo.

Habilitar FTP

Active la casilla de verificación para habilitar el protocolo de transferencia de archivos (FTP) para ALG.

El FTP ALG monitorea los comandos PORT, PASV y 227. Realiza la traducción de direcciones de red (TDR) en IP/puerto en el mensaje y la apertura de la puerta del dispositivo según sea necesario. El FTP ALG admite ftp put y FTP obtener bloqueo de comandos. Cuando se establece FTP_NO_PUT o FTP_NO_GET en la política, FTP ALG devuelve un comando de bloqueo y cierra la puerta abierta asociada cuando detecta un stor FTP o un comando RETR FTP.

Habilitar la dirección IP de permitir la discordancia

Active la casilla de verificación para permitir cualquier discordancia en la dirección IP.

Habilitar extensión de FTP

Active la casilla de verificación para habilitar protocolos FTP y SSL FTP seguros.

Habilite la extensión de interrupción de línea

Active la casilla de verificación para habilitar line-break-extension.

Esta opción permitirá al FTP ALG reconocer el LF como salto de línea además del CR+LF estándar (retorno de transporte, seguido de alimentación de línea).

Habilitar H323

Active la casilla de verificación para habilitar el H.323 ALG.

Pantalla de aplicación

Especifique las pantallas de seguridad para el protocolo H.323 ALG.

Ingrese los siguientes detalles:

• Umbral de puerta de entrada de inundación de mensajes: introduzca un valor. El intervalo de valores es de 1 a 50000 mensajes por segundo.

  Limita la velocidad por segundo en la que se procesan las solicitudes del servidor de acceso remoto (RAS) al guardián de la puerta. Se pierden los mensajes que superan el umbral. Esta función está deshabilitada de forma predeterminada.

• Acción al recibir mensaje desconocido:

  • Habilitar permitir aplicación de TDR: active la casilla de verificación para especificar cómo el dispositivo controla los mensajes H.323 no identificados (no compatibles).

    El valor predeterminado es soltar mensajes desconocidos. Permitir mensajes desconocidos puede comprometer la seguridad y no se recomienda. Sin embargo, en un entorno de prueba o producción seguro, esta instrucción puede ser útil para resolver problemas de interoperabilidad con equipos de proveedores dispares. Al permitir mensajes H.323 desconocidos, puede hacer que su red esté operativa y luego analizar su tráfico VoIP para determinar por qué se han caído algunos mensajes.

    Esta instrucción solo se aplica a los paquetes recibidos identificados como paquetes de VoIP compatibles. Si no se puede identificar un paquete, siempre se pierde. Si se identifica un paquete como protocolo compatible, el mensaje se reenvía sin procesar.

  • Habilitar Permitir enrutado: active la casilla de verificación para especificar que se permite que pasen mensajes desconocidos si la sesión está en modo de ruta.

    Las sesiones en modo transparente se tratan como si estuvieran en modo de ruta.

Reescritura de código DSCP

Punto de código (Code Point): permite seleccionar una cadena de 6 bits de la lista.

Especifica una regla de reescritura para el tráfico que pasa a través de una puerta de enlace de capa de aplicación de voz sobre IP (VoIP ALG). El valor del punto de código está en formato binario.

Las reglas de reescritura de VoIP modifican la clase de bits de servicio (CoS) adecuada en un paquete saliente mediante el mecanismo de punto de código de servicios diferenciados (DSCP) que mejora la calidad de VoIP en una red congestionada.

Extremos

Ingrese los siguientes detalles:

• Tiempo de espera para el punto de conexión: escriba un valor de tiempo de espera en segundos para las entradas de la tabla TDR.

  Rango: de 10 a 50 000 segundos

  Controla la duración de las entradas en la tabla TDR.

• Habilitar Permitir medios desde cualquier puerto de origen: seleccione esta opción para permitir el tráfico de medios desde cualquier número de puerto.

Habilite IKE-ESP

Active la casilla de verificación para habilitar IKE-ESP.

Tiempo de espera de la puerta ESP (sec)

Seleccione el tiempo de espera de la puerta de 2 a 30 segundos.

Tiempo de espera de sesión ESP (sec)

Seleccione la sesión de tiempo de espera ESP de 60 a 2400 segundos.

Tiempo de espera de estado ALG (sec)

Seleccione el tiempo de estado de ALG de 180 a 86400 seg.

Habilitar MGCP

Active la casilla de verificación para habilitar el Protocolo de control de puerta de enlace de medios (MGCP).

Tiempo de espera de medios inactivos

Seleccione un valor para especificar la cantidad máxima de tiempo que las aberturas temporales del firewall (agujeros de pin) permanecen abiertas para los medios si no se detecta ninguna actividad. el rango es de 10 a 2.550 segundos.

Especifica el tiempo máximo (en segundos) que una llamada puede permanecer activa sin tráfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, las aberturas temporales (agujeros de pin) en el firewall MGCP ALG abierto para medios se cierran. La configuración predeterminada es de 120 segundos; el rango es de 10 a 2550 segundos. Tenga en cuenta que, tras el tiempo de espera, mientras se eliminan los recursos para medios (sesiones y pinholes), la llamada no termina.

Duración máxima de la llamada

Seleccione un valor de 3 a 720 minutos.

Establece la duración máxima de una llamada. Cuando una llamada supera esta configuración de parámetro, MGCP ALG desgarra la llamada y libera las sesiones de medios. La configuración predeterminada es 720 minutos; el rango es de 3 a 720 minutos.

Tiempo de espera de la transacción

Ingrese un valor de 3 a 50 segundos para especificar

Especifica un valor de tiempo de espera para las transacciones MGCP. Una transacción es un mensaje de señalización, por ejemplo, un NTFY desde la puerta de enlace al agente de llamada o un OK 200 del agente de llamada a la puerta de enlace. El dispositivo rastrea estas transacciones y las borra cuando se queda el tiempo.

Pantalla de aplicación

Ingrese los siguientes detalles:

• Umbral de inundación de mensajes (Message Flood Threshold): permite especificar un valor de 2 a 50 000 segundos por puerta de enlace de medios.

  Limita la velocidad por segundo en la que se procesan las solicitudes de mensajes a media Gateway. Los mensajes que superan el umbral se pierden mediante el Protocolo de control de puerta de enlace de medios (MGCP). Esta función está deshabilitada de forma predeterminada.

• Umbral de inundación de conexión : escriba un valor de 2 a 10 000.

  Limita la cantidad de nuevas solicitudes de conexión permitidas por Media Gateway (MG) por segundo. Mensajes que superan el ALG.

• Acción al recibir mensaje desconocido: escriba cualquiera de los siguientes elementos:

  • Habilitar permitir la aplicación de TDR: active la casilla para especificar cómo se manejan los mensajes MGCP no identificados en el dispositivo de Juniper Networks.

    El valor predeterminado es soltar mensajes desconocidos (no compatibles). Permitir mensajes desconocidos puede comprometer la seguridad y no se recomienda. Sin embargo, en un entorno de prueba o producción seguro, esta instrucción puede ser útil para resolver problemas de interoperabilidad con equipos de proveedores dispares. Al permitir mensajes MGCP desconocidos (no compatibles), puede hacer que su red esté operativa y, más tarde, analizar su tráfico de VoIP para determinar por qué se han caído algunos mensajes.

  • Habilitar permitir enrutado: active la casilla.

    Especifica que se permite que pasen mensajes desconocidos si la sesión está en modo de ruta. (Las sesiones en modo transparente se tratan como modo de ruta.)

Reescritura de código DSCP

Especifica un conjunto de bits o alias de punto de código para aplicar a una clase de reenvío para una regla de reescritura.

Punto de código (Code Point): permite introducir un valor de punto de código DSCP de seis bits.

Habilitar MSRPC

Active la casilla de verificación para habilitar el MSRPC.

Proporciona un método para un programa que se ejecuta en un host para llamar a los procedimientos en un programa que se ejecuta en otro host. Debido a la gran cantidad de servicios de RPC y a la necesidad de difusión, la dirección de transporte de un servicio DE RPC se negocia dinámicamente según el identificador único universal (UUID) del programa de servicio. El UUID específico está asignado a una dirección de transporte.

Uso máximo del grupo (%)

Seleccione el % de uso del grupo del 10 al 100 %.

Tiempo de espera de entrada del mapa (mín.)

Seleccione el tiempo de espera de entrada del mapa de 5 a 4320 minutos.

Habilitar SCCP

Active la casilla de verificación para habilitar el Protocolo de control de cliente flaco.

Tiempo de espera de medios inactivos

Seleccione un valor de 10 a 600 segundos.

Indica la duración máxima de tiempo (en segundos) que una llamada puede permanecer activa sin tráfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, se cierran las puertas abiertas para los medios.

Pantalla de aplicación

Umbral de inundación de llamada (Call Flood Threshold): permite seleccionar un valor del 2 al 1000.

Protege a los clientes SCCP ALG de los ataques de inundación mediante la limitación del número de llamadas que intentan procesar.

Acción al recibir mensajes desconocidos

• Habilitar permitir aplicar TDR: active la casilla de verificación.

  Especifica cómo el dispositivo maneja los mensajes SCCP no identificados. El valor predeterminado es soltar mensajes desconocidos (no compatibles). Permitir mensajes desconocidos puede comprometer la seguridad y no se recomienda. Sin embargo, en un entorno de prueba o producción seguro, esta instrucción puede ser útil para resolver problemas de interoperabilidad con equipos de proveedores dispares. Al permitir mensajes SCCP desconocidos (no compatibles), puede poner su red en funcionamiento y luego analizar su tráfico de VoIP para determinar por qué se estaban perdiendo algunos mensajes.

  Esta instrucción solo se aplica a los paquetes recibidos identificados como paquetes de VoIP compatibles. Si no se puede identificar un paquete, siempre se pierde. Si se identifica un paquete como protocolo compatible, el mensaje se reenvía sin procesar.

• Habilitar permitir enrutado: active la casilla.

  Especifica que se permite que pasen mensajes desconocidos si la sesión está en modo de ruta. (Las sesiones en modo transparente se tratan como si estuvieran en modo de ruta.)

Reescritura de código DSCP

Punto de código (Code Point): permite introducir un valor de punto de código DSCP de seis bits.

Habilitar SIP

Active la casilla de verificación para habilitar el Protocolo de iniciación de sesión (SIP).

Habilitar recurso de retención

Active la casilla de verificación para habilitar si el dispositivo libera recursos de medios para un SIP, incluso cuando una transmisión de medios está en espera.

De forma predeterminada, los recursos de transmisión de medios se liberan cuando se mantiene la transmisión de medios.

Duración máxima de la llamada

Seleccione un valor de 3 a 720 minutos.

Establece la duración máxima absoluta de una llamada. Cuando una llamada supera esta configuración de parámetro, SIP ALG desgarra la llamada y libera las sesiones de medios. La configuración predeterminada es de 720 minutos, el intervalo es de 3 a 720 minutos.

Tiempo de espera C

Seleccione un valor de 3 a 10 minutos.

Especifica el tiempo de espera de la transacción INVITE en el proxy, en minutos; el valor predeterminado es 3. Dado que el ALG sip está en el medio, en lugar de usar el valor B del temporizador de transacción INVITE (que es (64 * T1) = 32 segundos), el ALG SIP obtiene su valor de temporizador del proxy.

Intervalo T4

Seleccione un valor de 5 a 10 segundos.

Especifica el tiempo máximo que permanece un mensaje en la red. El valor predeterminado es de 5 segundos; el rango es de 5 a 10 segundos. Dado que muchos temporizadores SIP escalan con el intervalo T4 (como se describe en RFC 3261), cuando cambia el valor del temporizador T4, esos temporizadores SIP también se ajustan.

Tiempo de espera de medios inactivos

Seleccione un valor de 10 a 2550 segundos.

Especifica el tiempo máximo (en segundos) que una llamada puede permanecer activa sin tráfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, se cierran las aberturas temporales (agujeros de pinholes) en el firewall SIP ALG abierto para medios. La configuración predeterminada es de 120 segundos; el rango es de 10 a 2550 segundos. Tenga en cuenta que, tras el tiempo de espera, mientras se eliminan los recursos para medios (sesiones y pinholes), la llamada no termina.

Intervalo T1

Seleccione un valor de 500 a 5000 milisegundos.

Especifica la estimación del tiempo de ida y vuelta, en segundos, de una transacción entre puntos de conexión. El valor predeterminado es de 500 milisegundos. Dado que muchos temporizadores SIP escalan con el intervalo T1 (como se describe en RFC 3261), cuando cambia el valor del temporizador del intervalo T1, esos temporizadores SIP también se ajustan.

Pantalla de aplicación

Acción al recibir mensaje desconocido:

• Habilitar permitir aplicar TDR: active la casilla de verificación para habilitar la gestión de mensajes SIP no identificados por el dispositivo.

  Esta instrucción solo se aplica a los paquetes recibidos identificados como paquetes de VoIP compatibles. Si no se puede identificar un paquete, siempre se pierde. Si se identifica un paquete como protocolo compatible, el mensaje se reenvía sin procesar.

• Habilitar permitir enrutado: active la casilla de verificación para permitir que pasen mensajes desconocidos si la sesión está en modo de ruta. (Las sesiones en modo transparente se tratan como modo de ruta.)

Opciones de protección

• Tiempo de espera de entrada de la tabla de ataques de invitación SIP: introduzca un valor de 1 a 3.600 segundos.

  Especifica el tiempo (en segundos) para realizar una entrada de tabla de ataques para cada INVITE, que se muestra en la pantalla de la aplicación.

• Habilitar protección contra ataques: seleccione una de las opciones: todos los servidores, los servidores seleccionados o ninguno.

  Protege los servidores contra ataques INVITE. Configura la pantalla de la aplicación SIP para proteger el servidor en algunas o todas las direcciones IP de destino contra ataques DE INVITAción.

  Cuando seleccione Servidores seleccionados, escriba la dirección IP de destino y haga clic en +. Puede seleccionar la dirección IP de destino y hacer clic en X para eliminarla.

Reescritura de código DSCP

Punto de código (Code Point): permite introducir un valor de punto de código DSCP de seis bits.

Habilitar SUNRPC

Active la casilla de verificación para habilitar SUNRPC.

Debido a la gran cantidad de servicios de RPC y la necesidad de difusión, la dirección de transporte de un servicio DE RPC se negocia dinámicamente según el número de programa y el número de versión del servicio. Se definen varios protocolos de enlace para asignar el número de programa y el número de versión de RPC a una dirección de transporte.

Uso máximo del grupo (%)

Seleccione el % de uso máximo del grupo del 10 al 100 %.

Tiempo de espera de entrada del mapa

Seleccione el tiempo de espera de entrada del mapa de 5 a 4320 minutos.