ALG の概要

アプリケーション層ゲートウェイ(ALG)は、Junos OSを実行するジュニパーネットワークスのデバイス上で、SIP(Session Initiation Protocol)やFTPなどの特定のプロトコルを管理するために設計されたソフトウェアコンポーネントです。ALGモジュールは、スイッチ上のアプリケーション層認識パケット処理を担当します。

ALG 機能は、セキュリティ ポリシーで構成されたサービスまたはアプリケーションによってトリガーできます。

• サービスとは、アプリケーション サービス(Telnet、FTP、SMTP など)のレイヤー 4 情報(標準および受け入れられている TCP および UDP ポート番号など)を使用してアプリケーション プロトコルを識別するオブジェクトです。

• アプリケーションは、レイヤー 4 サービスにマップされるレイヤー 7 アプリケーションを指定します。

定義済みサービスには、すでにレイヤー 7 アプリケーションへのマッピングがあります。ただし、カスタムサービスの場合、特にポリシーでALGを適用する場合は、サービスをアプリケーションに明示的にリンクする必要があります。

ウェルノウン ポート宛てのパケットの ALG は、サービス タイプによってトリガーされます。ALG は、指定されたトラフィックを傍受して分析し、リソースを割り当て、動的ポリシーを定義して、トラフィックがデバイスを安全に通過できるようにします。

1. パケットがデバイスに到着すると、フロー モジュールはポリシーで設定されたセキュリティ ルールに従ってパケットを転送します。

2. パケットを許可するポリシーが見つかった場合、関連するサービスタイプまたはアプリケーションタイプが割り当てられ、このタイプのトラフィックのセッションが作成されます。

3. パケットのセッションが見つかった場合、ポリシー ルールの一致は必要ありません。ALG モジュールは、その特定のサービスまたはアプリケーションの種類がサポートされている ALG 処理を必要とする場合にトリガーされます。

また、ALG はパケット ペイロードに埋め込まれた IP アドレスとポート情報がないかパケットを検査し、必要に応じてネットワーク アドレス変換(NAT)処理を実行します。メッセージ バッファーは、パケットを処理する準備ができた場合にのみ割り当てられます。バッファーは、ペイロードの変更、NAT の実行、クライアントとサーバー間の新規接続用のピンホールの開放、ジュニパーネットワークスのデバイスの反対側にあるクライアントとサーバー間のデータ転送などの ALG 処理をパケットが完了した後に解放されます

jbuf の最大サイズは 9 KB です。メッセージ バッファー サイズが 9 KB を超える場合、メッセージ全体を ALG パケット ハンドラーに転送できません。これにより、セッション内の後続のパケットがALG処理をバイパスし、トランザクションエラーが発生します。ALG メッセージ バッファーの最適化が強化され、高いメモリ消費量が削減されました。

また、ALGは、制御セッションとデータセッションのデータ交換を可能にするために、IPアドレスとポート番号のゲートを開きます。制御セッションとデータ・セッションは、結合して同じタイムアウト値にすることも、独立させることもできます。

ALGはシャーシクラスターでサポートされています。

デフォルトでは、ALGは事前定義されたサービスにバインドされています。例えば、FTP ALGはjunos-ftpにバインドされ、RTSP ALGはjunos-rtspにバインドされます、という具合です。

定義済みサービスには、すでにレイヤー 7 アプリケーションへのマッピングがあります。ただし、カスタムサービスの場合、特にポリシーでALGを適用する場合は、サービスをアプリケーションに明示的にリンクする必要があります。

事前定義されたサービスをポリシーに適用すると、そのサービスに一致するトラフィックは、さらなる処理のために対応するALGに送信されます。ただし、状況によっては、次のことを実現するためにカスタム サービスを定義する必要がある場合があります。

• ALGハンドラを使用して、お客様が指定したプロトコルや宛先ポートなどの特殊なトラフィックを処理します。

• トラフィックが ALG にバインドする事前定義されたサービスと一致する場合、トラフィックを許可しますが、ALG 処理をバイパスします。

• 現在のALGのアプリケーションセットにアプリケーションを追加します。

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。

カスタム サービスの 3 つの使用法を、MS-RPC ALG を例に、以下に説明します。

• Utilize the ALG handler to process special traffic:

  TCP 宛先ポート 6000 のトラフィックは、さらなる処理のために MS-RPC ALG に送信されます。

• Permit traffic but bypass ALG processing:

  すべての ALG は、TCP 宛先ポート 135 のトラフィックで無視されます。

• Add more applications to an ALG’s application set- MS-RPC や Sun RPC サービスなど、デバイスに事前定義されていないアプリケーションを追加するには、以下を行います。

  TCP(uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2)を使用したMS-RPCデータトラフィックは、カスタムMSRPCが他の事前定義されたjunos-ms-rpc**アプリケーションとともにポリシーに適用される場合に許可されます。

ドメイン ネーム システム (DNS) は、DNS トラフィックを処理し、DNS クエリと応答パケットを監視し、DNS フラグがパケットが応答メッセージであることを示している場合はセッションを閉じる ALG の一部です。

DNS ALG は、Junos OS リリース 10.0 以前のリリースのルート モードで IPv4 をサポートします。Junos OS リリース 10.4 では、この機能はルーティング、ネットワーク アドレス変換(NAT)、ネットワーク アドレス変換プロトコル変換(NAT-PT)のために DNS ALG に IPv6 サポートを実装します。

DNS ALG が DNS クライアントから DNS クエリを受信すると、DNS パケットのセキュリティ チェックが実行されます。DNS ALG が DNS サーバーから DNS 応答を受信すると、同様のセキュリティ チェックが実行され、DNS トラフィックのセッションが閉じられます。

• NAT モードでの IPv6 DNS ALG トラフィック
• NAT-PTモードのIPv6 DNS ALGトラフィック

ファイル転送プロトコル (FTP) は、FTP トラフィックを処理する ALG の一部です。FTP での PORT/PASV 要求および対応する 200/227 応答は、ホストが FTP データ接続のためにリッスンする TCP ポートを通知するために使用されます。

これらの要求および応答には、EPRT/EPSV/229 コマンドが使用されます。FTP ALG はすでに EPRT/EPSV/229 をサポートしていますが、IPv4 アドレスに対してのみサポートしています。

Junos OS リリース 10.4 では、EPRT/EPSV/229 コマンドが更新され、IPv4 アドレスと IPv6 アドレスの両方がサポートされるようになりました。

FTP ALG は、事前に割り当てられた objcache を使用してセッション Cookie を格納します。FTP ALG で IPv4 アドレスと IPv6 アドレスの両方がサポートされている場合、セッション Cookie 構造は IPv6 アドレスを格納するために 256 ビット (32 バイト) 拡大します。

• IPv6 に対する FTP ALG のサポート
• EPRTモード
• EPSVモード

SRXシリーズファイアウォールがTAPモードで動作するように設定すると、デバイスはセキュリティログ情報を生成し、検知された脅威、アプリケーションの使用状況、およびユーザーの詳細に関する情報を表示します。デバイスが TAP モードで動作するように設定されている場合、デバイスは設定された TAP インターフェイスからのみパケットを受信します。設定されたTAPインターフェイスを除き、他のインターフェイスは、管理インターフェイスとして使用されるか、外部サーバに接続されている通常のインターフェイスに設定されます。SRXシリーズファイアウォールは、受信トラフィックに応じてセキュリティレポートまたはログを生成します。

ALGはペイロードNATなどのアプリケーションをサポートし、そのデータトラフィックを動的に許可します。