NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

NetScreen の ALG 機能について

ALG とは

特定アプリケーションの中には、ペイロード(アプリケーションデータ)内にアドレス情報を持つものがあり、アドレスやポートを変換しただけでは通信が行えないものがあります。これらのアプリケーションに対応するため、ALG(Application Level Gateway)と呼ばれる機能があります。
ALG では特定のアプリケーションについて、ペイロード内のアドレスも変換してくれます。一見、便利な機能ですが、ポート番号で判別するため、予期せぬ変換を行うといったリスクもあります。ScreenOS ではデフォルトで有効となっていますが、使用しない場合は無効にしておく方が良いかもしれません。

ScreenOS の ALG 設定方法

Security > ALG > Basic から設定します。
無効にする場合は、チェックをはずし[Apply]をクリックします。
f:id:FriendsNow:20130131200449p:plain

CLI で無効化する場合は "unset alg protocol enable " を実行します。

ssg5-serial-> unset alg ftp enable

ssg5-serial-> get alg | include ftp
FTP          ALG : disabled
TFTP         ALG : enabled