SIP ALG について
組織内で VoIP (Voice-over-IP) を使用する場合、セッション開始プロトコル (SIP) または H.323 ALG (Application Layer Gateway) を追加して、Firebox で VoIP を有効にするために必要なポートを開くことができます。ALG は、プロキシ ポリシーと同じ方法で作成し、同じような構成オプションを提供します。これらの ALG は、Firebox の背後で非公開にアドレス指定された会議装置のセキュリティを維持する NAT 環境で機能するように設計されています。
H.323 はよくテレビ会議装置に使用されています。SIP はよく IP 電話に使用されています。必要に応じて、H.323 および SIP ALG の両方を同時に使用できます。追加する必要がある ALG を判別するには、使用する VoIP デバイスまたはアプリケーションの資料を参照してください。
SIP-ALG トラフィックに既定のポリシーはありません。SIP-ALG を構成するには、まずトラフィックを処理するためのプロキシ ポリシーを作成する必要があります。Firebox 構成に SIP-ALG を追加する方法の詳細については、次を参照してください: 構成にプロキシ ポリシーを追加する。
サポートされている展開構成については、VoIP ネットワークの例 を参照してください。
VoIP コンポーネント
通常、以下のいずれかを使用して VoIP を実装することを理解することが重要です。
ピアツーピア接続
ピアツーピア接続では、2 つのデバイスが互いの IP アドレスを認識し、プロキシサーバーを使用してルーティングを行うことなく相互に直接接続します。
ホストベースの接続
接続は 呼び出し管理システム (PBX) により管理されます。呼び出し管理システムは自己でホストされることもあれば、サードパーティのサービス プロバイダによりホストすることもあります。
SIP 標準では、呼び出し管理の主要コンポーネントは SIP レジストラー と SIP プロキシです。共に、これらのコンポーネントは呼び出し管理システムにホストされる接続を管理します。WatchGuard SIP-ALG はSIP が作動するための必要に応じてポートを開閉します。WatchGuard SIP-ALG は SIP トランクにサポートしています。WatchGuard SIP ALG は、Firebox の外部にある呼び出し管理システムと一緒に使用される場合、SIP レジスタと SIP プロキシの両方をサポートできます。
VoIP 機器の多数のコンポーネントを統合するのは難しい場合があります。H.323 または SIP ALG を使用する前に、VoIP 接続が正しく機能することを確認してください。これにより、問題の発生を抑えることができます。
インスタント メッセージング サポート
SIP-ALG は既定の SIP プロトコルの一部としてページベースのインスタント メッセージング (IM) をサポートします。SIP-ALG で IM を使用するために、追加の構成ステップを完了する必要はありません。
ALG 機能
SIP-ALG を使用すると、Firebox は以下を実行します。
- VoIP アプリケーションの トラフィックのルーティング
- 呼び出しを行ったり受信するのに必要なポートを開き、オーディオとビデオ メディアを交換します
- VoIP 接続が標準 H.323 プロトコルを使用していることを確認します。
- 監査目的で、ログ メッセージを生成します。
- SIP パブリッシュ メソッドを通じて、SIP の存在をサポートします。これは ソフト電話ユーザーがピア ステータスを見ることを可能にします。
多数の VoIP デバイスおよびサーバは、ポートを自動的に開くおよび閉じるために NAT (Network Address Translation) を使用します。H.323 および SIP-ALG もこの機能を実行します。H.323 または SIP-ALG を構成する場合、VoIP デバイスに NAT を無効化する必要があります。
SIP-ALG を構成する
設定タブ
設定 タブで、トラフィックを許可するか拒否するかの判断、ポリシーのアクセス ルールの作成、静的 NAT またはサーバー負荷分散の構成など、プロキシ ポリシーに関する基本情報を設定することができます。設定 タブにはポリシーのポートとポリシーのプロトコルも表示され、ポリシーの説明を加えた場合はそれも表示されます。ログ記録、通知、自動的なブロックおよびタイムアウトの基本設定を行うには、このタブの設定を使用できます。
- 接続 — 接続が 許可、拒否、または 拒否 (送信リセット) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。ポリシーのアクセス ルールを設定する を参照してください。
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。静的 NAT (SNAT) を構成する および サーバー負荷分散を構成する を参照してください。
- ポリシーのログ記録設定を定義するには、ログ記録 セクションで構成します。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - 接続 ドロップダウン リストを 拒否 または 拒否 (リセット送信) に設定すると、POP3 を使用しようとするサイトをブロックすることができます。
詳細については、次を参照してください:ポリシー設定で一時的にサイトをブロックする。 - Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください: カスタムのアイドル タイムアウトを設定する。
SD-WAN タブ
SD-WAN タブで、SD-WAN アクションを選択してポリシーに適用します。また、新しい SD-WAN アクションを追加することができます。SD-WAN ルーティングの詳細については、SD-WAN について を参照してください。
Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。
Application Control タブ
Firebox の Application Control が有効化されている場合は、このプロキシが Application Control に使用するアクションを設定することができます。
- Application Control タブを選択します。
- Application Control アクション ドロップダウン リストから、このポリシーに使用する Application Control アクションを選択します。または、新しいアクションを作成します。
- (オプション) 選択したアクションの Application Control 設定を編集します。
- 保存 をクリックします。
詳細については、ポリシーで Application Control を有効化する を参照してください。
トラフィック管理 タブ
トラフィック管理 タブでは、ポリシーのトラフィック管理アクションを選択することができます。新しいトラフィック管理アクションを作成することもできます。トラフィック管理アクションの詳細については、v11.8.x 以降でトラフィック管理アクションを定義する および ポリシーにトラフィック管理アクションを追加する を参照してください。
ポリシーにトラフィック管理アクションを適用するには、以下の手順を実行します:
- トラフィック管理 タブを選択します。
- トラフィック管理アクション ドロップダウン リストから、トラフィック管理アクションを選択します。
または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいトラフィック管理アクションを作成します v11.8.x 以降でトラフィック管理アクションを定義する。 - 保存 をクリックします。
プロキシ アクション タブ
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて。
プロキシ アクションを構成するには、以下の手順を実行します:
- プロキシ アクション タブを選択します。
- プロキシ アクション ドロップダウン リストから、このプロキシ ポリシーで使用するプロキシ アクションを選択します。
プロキシ アクションの詳細については、次を参照してください: プロキシ アクションについて。 - 保存 をクリックします。
SIP-ALGの場合、プロキシ アクションの設定のこれらのカテゴリを構成することができます:
スケジューリング タブ
スケジューリング タブで、ポリシーの作動スケジュールを指定することができます。既存のスケジュールを選択するか、または新しいスケジュールを作成することができます。
- スケジューリング タブを選択します。
- アクションのスケジュール ドロップダウン リストから、スケジュールを選択します。
または、トピック Firebox アクションのスケジュールを作成する および 運用スケジュールを設定する に説明されている通り、新規作成 を選択し、設定を構成して、新しいスケジュールを作成します。 - 保存 をクリックします。
詳細 タブ
詳細 タブ には、NAT、QoS、複数 WAN、および ICMP オプションの設定が含まれています。
このプロキシ ポリシー構成のコメントを編集または追加するには、コメント テキスト ボックスに、コメントを入力します。
このタブのオプションの詳細については、次を参照してください:
ポリシー タブ
アクセス ルールと他のオプションを設定するには、ポリシー タブを使用します。
- SIP-ALG 接続 — 接続が 許可、拒否、または 拒否 (送信リセット) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。ポリシーのアクセス ルールを設定する を参照してください。
- 送信トラフィックのルーティングに使用 > SD-WAN — SD-WAN について を参照してください。ヒント!
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。静的 NAT (SNAT) を構成する および サーバー負荷分散を構成する を参照してください。
- Application Control を有効化する — Application Control を有効化して、このポリシーで使用される Application Control アクションを選択します。詳細については、ポリシーで Application Control を有効化する を参照してください。
- Geolocation を有効化する — Geolocation を有効化して、このポリシーで使用される Geolocation アクションを選択します。詳細については、Geolocation を構成する を参照してください。
- IPS を有効化する — このポリシーの IPS を有効化します。詳細については、ポリシーの IPS を有効または無効にする を参照してください。
- プロキシ アクション — このポリシーに使用するプロキシ アクションを選択します。プロキシ アクションのルールセットも編集できます。
プロパティ タブ
プロパティ タブで、次のオプションを設定します。
- このポリシー構成のコメントを編集または追加するには、コメントを コメント テキスト ボックスに入力します。
- ポリシーのログ記録の設定を定義するには、ログ記録 をクリックします。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - SIP-ALG プロキシ接続 ドロップダウン リスト(ポリシー タブ)を 拒否 または 拒否 (リセット送信) に設定すると、POP3 を使用しようとするサイトをブロックすることができます。
詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。 - Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください: カスタムのアイドル タイムアウトを設定する。
詳細 タブ
プロキシ定義で、これらのオプションを使用できます。
- 運用スケジュールを設定する
- ポリシーにトラフィック管理アクションを追加する
- ICMP エラー処理の設定
- NAT ルールを適用する(既定では、すべてのポリシーで 1-to-1 NAT と動的 NAT の両方が有効化されています。)
- 接続速度の制限を設定する
- ポリシーで QoS マーキングと優先順位付けを有効化する
- ポリシーの固定接続期間を設定する
プロキシ アクションを構成する
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて。
SIP-ALGの場合、プロキシ アクションの設定のこれらのカテゴリを構成することができます: