[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.9
始点IP/IPv6アドレス | 送信元エンティティー | エンティティー定義 |
終点IP/IPv6アドレス | 宛先エンティティー | |
DSCP値 | ||
IPプロトコル番号 | ||
始点TCP/UDPポート番号 | ||
終点TCP/UDPポート番号 | ||
ICMPタイプ/コード |
NoteDSCP値はQoSおよびポリシーベースルーティング(PBR)でのみサポートです。各機能については「トラフィック制御」/「Quality of Service」、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
awplus# show application ↓ aim cvs dns ftp http https icq ident imap imaps irc jabber l2tp ldap lisa msn mysql news nfs-tcp nfs-udp ntp openvpn pcanywhere-tcp pcanywhere -udp ping pop3 pop3s pptp rdp rsync samba-tcp samba-udp smtp socks ssh syslog telnet traceroute vnc whois
Note同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > DPIアプリケーション > 事前定義済みアプリケーションの順になります。すなわち、DPIアプリケーションや事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、DPIおよび事前定義済みアプリケーションは使われなくなります。また、アプリケーションコントロール(DPI)機能を有効化すると、「dns」など一部の事前定義アプリケーションが同名のDPIアプリケーションによって上書きされ使われなくなります。
Note事前定義済みアプリケーションは前述の通り上書き可能ですが、事前定義済みアプリケーションそのものを削除することはできません。
awplus# show application detail ↓ Name Protocol Detail -------------------------------------------------------------------------- aim TCP sport=1024-65535 dport=9898 cvs TCP sport=1024-65535 dport=2401 dns UDP sport=1024-65535 dport=53 ftp TCP sport=1024-65535 dport=21 http TCP sport=1024-65535 dport=80 https TCP sport=1024-65535 dport=443 icq TCP sport=1024-65535 dport=5190 ident TCP sport=1024-65535 dport=113 imap TCP sport=1024-65535 dport=143 imaps TCP sport=1024-65535 dport=993 irc TCP sport=1024-65535 dport=6667 jabber TCP sport=1024-65535 dport=5222-5223 l2tp UDP sport=1701 dport=1701 ldap TCP sport=1024-65535 dport=389 lisa TCP sport=1024-65535 dport=7741 msn TCP sport=1024-65535 dport=1863 mysql TCP sport=1024-65535 dport=3306 news TCP sport=1024-65535 dport=119 nfs-tcp TCP sport=1024-65535 dport=2049 nfs-udp UDP sport=1024-65535 dport=2049 ntp UDP sport=123,1024-65535 dport=123 openvpn UDP sport=1024-65535 dport=1194 pcanywhere-tcp TCP sport=1024-65535 dport=5631 pcanywhere-udp UDP sport=1024-65535 dport=5631-5632 ping ICMP type=8 code=0 pop3 TCP sport=1024-65535 dport=110 pop3s TCP sport=1024-65535 dport=995 pptp TCP sport=1024-65535 dport=1723 rdp TCP sport=1024-65535 dport=3389 rsync TCP sport=1024-65535 dport=873 samba-tcp TCP sport=1024-65535 dport=139,445 samba-udp UDP sport=137-138,1024-65535 dport=137-138 smtp TCP sport=1024-65535 dport=25 socks TCP sport=1024-65535 dport=1080 ssh TCP sport=1024-65535 dport=22 syslog UDP sport=1024-65535 dport=514 telnet TCP sport=1024-65535 dport=23 traceroute UDP sport=1024-65535 dport=33434-33523 vnc TCP sport=1024-65535 dport=5900 whois TCP sport=1024-65535 dport=43
Noteアプリケーション定義では必ずIPプロトコル(protocol)を指定してください。ルール作成時にIPプロトコル未指定のアプリケーション定義を指定した場合、該当ルールは有効にならず無視されますのでご注意ください。なお、ルール作成時にアプリケーション定義名の代わりにキーワード「any」を指定すれば、「すべてのアプリケーション(すべての通信)」を対象とするルールを作成可能です。
Noteルール作成コマンドにおいて、「any」は「すべてのアプリケーション(すべての通信)」を意味するキーワードとして内部的に予約されているため、カスタムアプリケーション定義名として「any」は使用しないでください。キーワードは大文字小文字を区別しないため、「any」、「Any」、「ANY」なども同様です。
Noteアプリケーション名は大文字小文字を区別しません。
NoteDSCP値はQoSおよびポリシーベースルーティング(PBR)でのみサポートです。各機能については「トラフィック制御」/「Quality of Service」、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
awplus(config)# application mydb ↓ awplus(config-application)# protocol tcp ↓ awplus(config-application)# sport 1024 to 65535 ↓ awplus(config-application)# dport 8704 ↓ awplus(config-application)# exit ↓
awplus(config)# application mydb ↓ awplus(config-application)# protocol udp ↓ awplus(config-application)# sport 1024 to max ↓ awplus(config-application)# dport 50000 to 50099 ↓ awplus(config-application)# dport 51024 ↓ awplus(config-application)# exit ↓
awplus(config)# application isakmp ↓ awplus(config-application)# protocol udp ↓ awplus(config-application)# sport 500 ↓ awplus(config-application)# dport 500 ↓ awplus(config-application)# exit ↓
awplus(config)# application esp ↓ awplus(config-application)# protocol 50 ↓ awplus(config-application)# exit ↓
awplus(config)# application path-mtu-ipv4 ↓ awplus(config-application)# protocol icmp ↓ awplus(config-application)# icmp-type 3 ↓ awplus(config-application)# icmp-code 4 ↓ awplus(config-application)# exit ↓
awplus(config)# application path-mtu-ipv6 ↓ awplus(config-application)# protocol ipv6-icmp ↓ awplus(config-application)# icmp-type 2 ↓ awplus(config-application)# icmp-code 0 ↓ awplus(config-application)# exit ↓
awplus# show application detail custom ↓ Name Protocol Detail -------------------------------------------------------------------------- esp 50 - isakmp UDP sport=500 dport=500 mydb TCP sport=1024-65535 dport=8704 mystream UDP sport=1024-65535 dport=50000-50099,51024 path-mtu-ipv4 ICMP type=3 code=4 path-mtu-ipv6 IPv6-ICMP type=2 code=0
Note同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > DPIアプリケーション > 事前定義済みアプリケーションの順になります。すなわち、DPIアプリケーションや事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、DPIおよび事前定義済みアプリケーションは使われなくなります。また、アプリケーションコントロール(DPI)機能を有効化すると、「dns」など一部の事前定義アプリケーションが同名のDPIアプリケーションによって上書きされ使われなくなります。
Noteアプリケーションコントロール(DPI)はAT-AR2050Vでは使用できません。
Noteサンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です。
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Noteアプリケーションコントロール(DPI)機能では、各アプリケーション固有の通信パターンを検出するために一定量のパケットを受信してそのデータ部分を検査する必要があります。判別が完了していないトラフィック(判別中のトラフィック)は、特殊なアプリケーション名「undecided」で表されます。
awplus(config)# dpi ↓ awplus(config-dpi)# provider procera ↓ awplus(config-dpi)# enable ↓
awplus# show application detail dpi ↓
Note同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > DPIアプリケーション > 事前定義済みアプリケーションの順になります。すなわち、DPIアプリケーションや事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、DPIおよび事前定義済みアプリケーションは使われなくなります。また、アプリケーションコントロール(DPI)機能を有効化すると、「dns」など一部の事前定義アプリケーションが同名のDPIアプリケーションによって上書きされ使われなくなります。
Noteアプリケーション定義名は大文字小文字を区別しませんが、エンティティー定義名(ゾーン、ネットワーク、ホスト定義名)は大文字小文字を区別しますのでご注意ください。
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private to public ↓ awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver ↓ awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet ↓ awplus(config-firewall)# rule permit http from public to dmz.servernet.web log ↓ awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself ↓
Noteアプリケーションコントロール(DPI)機能では、各アプリケーション固有の通信パターンを検出するために一定量のパケットを受信してそのデータ部分を検査する必要がありますが、ファイアウォールはその仕様として初期設定ですべてのパケットを破棄するため、ファイアウォールとアプリケーションコントロール(DPI)を併用する場合は注意が必要です。詳しくは「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
Note下の例では、アクション(masq、portfwd)の直後に指定している「http」がアプリケーション定義名です。「any」は「すべての通信」を示す予約済みキーワードであり、アプリケーション定義名ではありません。NAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private to public ↓ awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web ↓NATの詳細については、「UTM」/「NAT」をご覧ください。
awplus(config)# traffic-shaping ↓ awplus(config-ts)# rule match photostorage from private to public.cloud rate 1 max 10000 priority 7 ↓QoSの詳細については、「トラフィック制御」/「Quality of Service」をご覧ください。
awplus(config)# policy-based-routing ↓ awplus(config-pbr)# ip policy-route match highprio from local.net to remote.net nexthop tunnel0 ↓ awplus(config-pbr)# ip policy-route match lowprio from local.net to remote.net nexthop tunnel1 ↓ポリシーベースルーティングの詳細については、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
(C) 2015 - 2019 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AA