H.323 ALG について
貴社の組織で VoIP (Voice-over-IP) を使用している場合は、H.323 またはセッション開始プロトコル (SIP) ALG (アプリケーション層ゲートウェイ) を追加して、Firebox 経由の VoIP を有効にするために必要なポートを開くことができます。ALG は、プロキシ ポリシーと同じ方法で作成し、同じような構成オプションを提供します。これらの ALG は、NAT 環境で動作するように作成されています。これにより、Firebox によって保護されているプライベート アドレスを使用した会議装置のセキュリティを維持することができます。
H.323 はよくテレビ会議装置に使用されています。SIP はよく IP 電話に使用されています。必要に応じて、H.323 および SIP ALG の両方を同時に使用できます。追加する必要がある ALG を判別するには、使用する VoIP デバイスまたはアプリケーションの資料を参照してください。
VoIP コンポーネント
通常、以下のいずれかを使用して VoIP を実装することを理解してください。
ピアツーピア接続
ピアツーピア接続では、プロキシサーバーを使用してルーティングを行うことなく、2 つのデバイスが互いの IP アドレスを認識し、相互に直接接続します。
ホストベースの接続
接続は 呼び出し管理システム (PBX) により管理されます。呼び出し管理システムは自己でホストされることもあれば、サードパーティのサービス プロバイダによりホストすることもあります。
H.323 では、呼び出し管理の重要なコンポーネントは ゲートキーパー として知られています。ゲートキーパーはユーザー グループの VoIP 呼び出しを管理します。これは、Firebox によって保護されているネットワークまたは外部ロケーションに配置することができます。たとえば、いくつかの VoIP プロバイダは、ネットワークにゲートキーパーをホストしており、VoIP 呼び出しをかける前にこの gatekeeper に接続する必要があります。他の解決は、ネットワーク上にゲートキーパーを設定および保持する必要があります。
VoIP インストールの多数のコンポーネントを統合するのは難しい場合があります。H.323 または SIP ALG を使用する前に、VoIP 接続が正しく機能することを確認してください。これにより、問題の発生を抑えることができます。
ALG 機能
H.323-ALG を使用すると、Firebox が以下を実行します。
- VoIP アプリケーションの トラフィックのルーティング
- 呼び出しを行ったり受信するのに必要なポートを開き、オーディオとビデオ メディアを交換します
- VoIP 接続が標準 H.323 プロトコルを使用していることを確認します。
- 監査目的で、ログ メッセージを生成します。
多数の VoIP デバイスおよびサーバは、ポートを自動的に開くおよび閉じるために NAT (Network Address Translation) を使用します。H.323 および SIP ALG もこの機能を実行します。H.323 または SIP ALG を構成する場合、VoIP デバイスに NAT を無効化する必要があります。
構成にプロキシを追加する方法の詳細については、次を参照してください: 構成にプロキシ ポリシーを追加する。
H.323-ALG を構成する
設定タブ
設定 タブで、トラフィックを許可するか拒否するかの判断、ポリシーのアクセス ルールの作成、静的 NAT またはサーバー負荷分散の構成など、プロキシ ポリシーに関する基本情報を設定することができます。設定 タブにはポリシーのポートとポリシーのプロトコルも表示され、オプションでポリシーの説明を加えた場合はそれも表示されます。ログ記録、通知、自動的なブロックおよびタイムアウトの基本設定を行うには、このタブの設定を使用できます。
- 接続 — 接続が 許可、拒否、または 拒否 (送信リセット) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。ポリシーのアクセス ルールを設定する を参照してください。
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。静的 NAT (SNAT) を構成する および サーバー負荷分散を構成する を参照してください。
- ポリシーのログ記録設定を定義するには、ログ記録 セクションで構成します。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - 接続 ドロップダウン リストを 拒否 または 拒否 (リセット送信) に設定すると、H.323 を使用しようとするサイトをブロックすることができます。
詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。 - Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください: カスタムのアイドル タイムアウトを設定する。
SD-WAN タブ
SD-WAN タブで、SD-WAN アクションを選択してポリシーに適用します。また、新しい SD-WAN アクションを追加することができます。SD-WAN ルーティングの詳細については、SD-WAN について を参照してください。
Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。
Application Control タブ
Firebox の Application Control が有効化されている場合は、このプロキシが Application Control に使用するアクションを設定することができます。
- Application Control タブを選択します。
- Application Control アクション ドロップダウン リストから、このポリシーに使用する Application Control アクションを選択します。または、新しいアクションを作成します。
- (オプション) 選択したアクションの Application Control 設定を編集します。
- 保存 をクリックします。
詳細については、ポリシーで Application Control を有効化する を参照してください。
Geolocation タブ
Firebox で Geolocation が有効化されている場合は、Geolocation タブで、このプロキシの Geolocation アクションを選択することができます。また、新しい Geolocation アクションを追加することができます。Geolocation の詳細については、Geolocation を構成する を参照してください。
ポリシーに Geolocation アクションを適用するには、以下の手順を実行します。
- Geolocation タブを選択します。
- Geolocation 管理アクション ドロップダウン リストから、Geolocation アクションを選択します。
新しい Geolocation アクションを作成する場合は、追加 をクリックします。 - 保存 をクリックします。
Geolocation タブは、Fireware 12.3 以降で使用できます。
トラフィック管理 タブ
トラフィック管理 タブでは、ポリシーのトラフィック管理アクションを選択することができます。新しいトラフィック管理アクションを作成することもできます。トラフィック管理アクションの詳細については、v11.8.x 以降でトラフィック管理アクションを定義する および ポリシーにトラフィック管理アクションを追加する を参照してください。
ポリシーにトラフィック管理アクションを適用するには、以下の手順を実行します:
- トラフィック管理 タブを選択します。
- トラフィック管理アクション ドロップダウン リストから、トラフィック管理アクションを選択します。
または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいトラフィック管理アクションを作成します v11.8.x 以降でトラフィック管理アクションを定義する。 - 保存 をクリックします。
プロキシ アクション タブ
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて。
プロキシ アクションを構成するには、以下の手順を実行します:
- プロキシ アクション タブを選択します。
- プロキシ アクション ドロップダウン リストから、このプロキシ ポリシーで使用するプロキシ アクションを選択します。
プロキシ アクションの詳細については、次を参照してください: プロキシ アクションについて。 - 保存 をクリックします。
H.323-ALGには、プロキシ アクション設定の次のカテゴリを構成することができます :
スケジューリング タブ
スケジューリング タブで、ポリシーの作動スケジュールを指定することができます。既存のスケジュールを選択するか、または新しいスケジュールを作成することができます。
- スケジューリング タブを選択します。
- アクションのスケジュール ドロップダウン リストから、スケジュールを選択します。
または、トピック Firebox アクションのスケジュールを作成する および 運用スケジュールを設定する に説明されている通り、新規作成 を選択し、設定を構成して、新しいスケジュールを作成します。 - 保存 をクリックします。
詳細 タブ
詳細 タブ には、NAT、QoS、複数 WAN、および ICMP オプションの設定が含まれています。
このプロキシ ポリシー構成のコメントを編集または追加するには、コメント テキスト ボックスに、コメントを入力します。
このタブのオプションの詳細については、次を参照してください:
ポリシー タブ
アクセス ルールと他のオプションを設定するには、ポリシー タブを使用します。
- H.323-ALG 接続 — 接続が 許可、拒否、または 拒否 (送信リセット) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。ポリシーのアクセス ルールを設定する を参照してください。
- 送信トラフィックのルーティングに使用 > SD-WAN — SD-WAN について を参照してください。ヒント!
- Application Control を有効化する — Application Control を有効化して、このポリシーで使用される Application Control アクションを選択します。詳細については、ポリシーで Application Control を有効化する を参照してください。
- Geolocation を有効化する — Geolocation を有効化して、このポリシーで使用される Geolocation アクションを選択します。詳細については、Geolocation を構成する を参照してください。
- IPS を有効化する — このポリシーの IPS を有効化します。詳細については、ポリシーの IPS を有効または無効にする を参照してください。
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。静的 NAT (SNAT) を構成する および サーバー負荷分散を構成する を参照してください。
- プロキシ アクション — このポリシーに使用するプロキシ アクションを選択します。プロキシ アクションのルールセットも編集できます。
プロパティ タブ
プロパティ タブで、次のオプションを設定します。
- このポリシー構成のコメントを編集または追加するには、コメントを コメント テキスト ボックスに入力します。
- ポリシーのログ記録の設定を定義するには、ログ記録 をクリックします。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - H.323-ALG 接続 ドロップ ダウン リスト (ポリシー タブ) を 拒否 または 拒否 (リセット送信) に設定すると、H.323 を使用しようとするサイトをブロックすることができます。
詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。 - Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください: カスタムのアイドル タイムアウトを設定する。
詳細 タブ
プロキシ定義で、これらのオプションを使用できます。
- 運用スケジュールを設定する
- ポリシーにトラフィック管理アクションを追加する
- ICMP エラー処理の設定
- NAT ルールを適用する(既定では、すべてのポリシーで 1-to-1 NAT と動的 NAT の両方が有効化されています。)
- 接続速度の制限を設定する
- ポリシーで QoS マーキングと優先順位付けを有効化する
- ポリシーの固定接続期間を設定する
プロキシ アクションを構成する
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて。
H.323-ALGには、プロキシ アクション設定の次のカテゴリを構成することができます :