ゾーンベース ポリシー ファイアウォールでの ALG と AIC の有効化に関する情報
アプリケーション レベル ゲートウェイ
-
クライアント アプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバ アプリケーションと通信できるようにします。
-
アプリケーション固有のコマンドを認識し、これらのコマンドに対するきめ細かいセキュリティ制御を提供します。
-
データ交換を行う 2 つのホスト間の複数のデータ ストリームまたはデータ セッションを同期します。
-
アプリケーション ペイロードで使用できるネットワーク層アドレス情報を変換します。
ファイアウォールがピンホールを開き、アプリケーション レイヤ データストリームの送信元 IP アドレスおよび宛先 IP アドレスを伝送しない TCP または UDP トラフィックに対する変換サービスを NAT が実行します。IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには ALG のサポートが必要です。
レイヤ 7 アプリケーション プロトコル インスペクションの有効化の概要
ゾーンベース ポリシー ファイアウォールでは、アプリケーション レベル ゲートウェイ(ALG)およびアプリケーション インスペクションおよびコントロール(AIC)と、レイヤ 7 プロトコル インスペクションがサポートされています。レイヤ 7 プロトコル インスペクションは ALG/AIC 設定とともに自動的に有効になります。
レイヤ 7 アプリケーション プロトコル インスペクションは、アプリケーション層プロトコルを解釈または理解し、適切なファイアウォールまたはネットワーク アドレス変換(NAT)アクションを実行する手法です。アプリケーションによっては、パケットがデバイスのセキュリティ モジュールを通過する際、パケットのデータ部分に特別な処理をする必要があります。レイヤ 7 アプリケーション プロトコル インスペクションを使用すると、セキュリティ モジュールを通過するプロトコルの動作の確認や、不要なトラフィックや悪意のあるトラフィックの識別が可能です。セキュリティ モジュールは、設定されているトラフィック ポリシーに基づいてパケットの受け入れまたは拒否を行い、アプリケーションおよびサービスを安全に使用できるようにします。
アプリケーション インスペクションの実装の問題が原因で、アプリケーション パケットがドロップされることや、ネットワークが不安定になることがあります。ゾーンベース ポリシー ファイアウォールでの ALG および AIC の有効化機能の導入前は、アプリケーション インスペクションを無効にするには、ターゲット レイヤ 7 プロトコル ポートを使用してアクセス コントロール リスト(ACL)を定義し、特定のレイヤ 7 プロトコルのインスペクションをバイパスするために、この ACL と、TCP または UDP プロトコルに一致するクラス マップを定義する必要がありました。
ゾーンベース ポリシー ファイアウォールでの ALG および AIC の有効化機能が導入されたことで、application-inspect コマンドを使用して、特定のプロトコルまたはサポートされているすべてのレイヤ 7 プロトコルに対して、レイヤ 7 プロトコルインスペクションを有効または無効にできます。パラメータ マップの設定の変更は、新しいセッションにのみ適用されます。たとえば、FTP レイヤ 7 インスペクションを無効にすると、新規に作成されたセッションは FTP レイヤ 7 インスペクションをスキップしますが、この設定変更前にすでに確立されていた既存のセッションは FTP レイヤ 7 インスペクションを実行します。すべてのセッションで設定の変更を行う場合は、すべてのセッションを削除してから再作成する必要があります。
レイヤ 7 アプリケーション プロトコル インスペクションは、個々のパラメータ マップまたはグローバル ファイアウォールに対して有効にできます。