售前電話
135-3656-7657
售前電話 : 135-3656-7657
ALG定議
ALG-是英語Application Layer Gateway,或application-level gateway,簡稱為ALG,中文意思:應(yīng)用層網(wǎng)關(guān)。是一種NAT穿透技術(shù)。就應(yīng)用層面來說,它允許修改匣道上的NAT traversal的過濾規(guī)則,完成特定網(wǎng)絡(luò)傳輸協(xié)議上的地址和端口的轉(zhuǎn)換。舉例來說,像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323,這些都可以使用ALG來針對應(yīng)用程序在地址及端口轉(zhuǎn)換上的需求。在RFC 2663中定義了這個功能。
應(yīng)用層網(wǎng)關(guān) (ALG) 是一種安全軟件或設(shè)備,代表網(wǎng)絡(luò)上的應(yīng)用服務(wù)器運行,保護服務(wù)器和應(yīng)用免受可能惡意的流量的影響。是用于管理SIP(會話發(fā)起協(xié)議)和FTP(文件傳輸協(xié)議)等特殊應(yīng)用協(xié)議的軟件組件。ALG 充當 Internet 和應(yīng)用服務(wù)器之間的中介,可以處理相應(yīng)的協(xié)議,并充當端點,控制對應(yīng)用服務(wù)器的訪問權(quán)限。為此,攔截和分析相應(yīng)的網(wǎng)絡(luò)流量,分配資源并定義允許通過網(wǎng)關(guān)訪問的動態(tài)規(guī)則。
應(yīng)用層網(wǎng)關(guān)有哪些功能?它使客戶端應(yīng)用程序能夠使用動態(tài) TCP/UDP 端口與服務(wù)器應(yīng)用程序的已知端口進行通信,即使防火墻只允許有限數(shù)量的端口。如果沒有這樣的網(wǎng)關(guān),這些要么被阻止,要么網(wǎng)絡(luò)管理員將不得不在防火墻中打開大量端口。這反過來可能導(dǎo)致網(wǎng)絡(luò)安全性的削弱。
它識別特定于應(yīng)用程序的命令并提供對它們的擴展控制。
它可以在網(wǎng)絡(luò)級別操縱地址信息,可以從應(yīng)用程序的有效負載中識別這些信息。
它同步不同主機之間的多個流或會話。
可以在基礎(chǔ)設(shè)施的應(yīng)用層(在 OSI 模型中通常稱為第 7 層)執(zhí)行各種功能。這些功能可能包括地址和端口轉(zhuǎn)換、資源分配、應(yīng)用響應(yīng)控制以及數(shù)據(jù)和控制流量的同步。通過充當應(yīng)用服務(wù)器的代理并管理諸如SIP和 FTP 之類的應(yīng)用協(xié)議,應(yīng)用層網(wǎng)關(guān)可以控制應(yīng)用會話的啟動并通過在適當?shù)臅r候阻止或終止連接來屏蔽應(yīng)用服務(wù)器,以提供應(yīng)用層安全性。
為什么應(yīng)用層網(wǎng)關(guān)很重要?應(yīng)用程序?qū)τ跇I(yè)務(wù)運營和日常生活至關(guān)重要,但攻擊越來越多地針對這些應(yīng)用程序和 IT 基礎(chǔ)設(shè)施的應(yīng)用程序?qū)印榇_保業(yè)務(wù)連續(xù)性并保護敏感數(shù)據(jù)和個人身份信息 (PII),安全措施必須專門針對應(yīng)用層。應(yīng)用層網(wǎng)關(guān)是保護應(yīng)用程序及其包含的數(shù)據(jù)以確保安全應(yīng)用程序交付的一種選擇。
應(yīng)用層網(wǎng)關(guān)如何工作?
通過充當應(yīng)用程序服務(wù)器的代理并管理SIP和 FTP等應(yīng)用程序協(xié)議,應(yīng)用層網(wǎng)關(guān)通常使用深度數(shù)據(jù)包檢查來檢測和阻止攻擊,然后再啟動應(yīng)用程序會話或允許流量傳遞到應(yīng)用程序。應(yīng)用層網(wǎng)關(guān)的能力通常超過應(yīng)用防火墻或網(wǎng)絡(luò)應(yīng)用防火墻的能力。
SIP和ALG如何相互作用
要了解為什么SIP ALG對于現(xiàn)代SIP電話系統(tǒng)來說如此成問題,請查看嘗試撥打SIP電話時涉及的五步過程。SIP有助于打開和終止數(shù)據(jù)連接,但對于SIP呼叫,中間有幾個步驟。以下是最重要的五個:
雖然這似乎是一個漫長而復(fù)雜的過程,可以雙向發(fā)送數(shù)據(jù),但只需幾秒鐘即可完成。從連接的角度來看,這樣做的問題是,具有五部分連接過程意味著當ALG在發(fā)送/到達數(shù)據(jù)時修改數(shù)據(jù)時,數(shù)據(jù)包丟失的可能性增加。
為什么ALG應(yīng)該被禁用?在現(xiàn)代SIP傳出和傳入VoIP呼叫期間,ALG修改數(shù)據(jù)包是有問題的,特別是考慮到該服務(wù)在大多數(shù)商業(yè)路由器上的實現(xiàn)有多差。ALG服務(wù)旨在提供更清晰的連接,但由于它不穩(wěn)定地修改數(shù)據(jù)包,因此通常相反。
每次系統(tǒng)確認并確認連接嘗試時,ALG都會修改正在發(fā)送的SIP數(shù)據(jù)包。這是因為從專用IP地址和端口到公共IP地址和端口的轉(zhuǎn)換是通過腳本完成的。編寫腳本是非常危險的-有時在翻譯過程中,消息的重要部分會丟失。這將以不同的方式影響VoIP呼叫: