售前電話
135-3656-7657
售前電話 : 135-3656-7657
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
ALG定議
ALG-是英語Application Layer Gateway,或application-level gateway,簡稱為ALG,中文意思:應用層網關。是一種NAT穿透技術。就應用層面來說,它允許修改匣道上的NAT traversal的過濾規則,完成特定網絡傳輸協議上的地址和端口的轉換。舉例來說,像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323,這些都可以使用ALG來針對應用程序在地址及端口轉換上的需求。在RFC 2663中定義了這個功能。
應用層網關 (ALG) 是一種安全軟件或設備,代表網絡上的應用服務器運行,保護服務器和應用免受可能惡意的流量的影響。是用于管理SIP(會話發起協議)和FTP(文件傳輸協議)等特殊應用協議的軟件組件。ALG 充當 Internet 和應用服務器之間的中介,可以處理相應的協議,并充當端點,控制對應用服務器的訪問權限。為此,攔截和分析相應的網絡流量,分配資源并定義允許通過網關訪問的動態規則。
應用層網關有哪些功能?它使客戶端應用程序能夠使用動態 TCP/UDP 端口與服務器應用程序的已知端口進行通信,即使防火墻只允許有限數量的端口。如果沒有這樣的網關,這些要么被阻止,要么網絡管理員將不得不在防火墻中打開大量端口。這反過來可能導致網絡安全性的削弱。
它識別特定于應用程序的命令并提供對它們的擴展控制。
它可以在網絡級別操縱地址信息,可以從應用程序的有效負載中識別這些信息。
它同步不同主機之間的多個流或會話。
可以在基礎設施的應用層(在 OSI 模型中通常稱為第 7 層)執行各種功能。這些功能可能包括地址和端口轉換、資源分配、應用響應控制以及數據和控制流量的同步。通過充當應用服務器的代理并管理諸如SIP和 FTP 之類的應用協議,應用層網關可以控制應用會話的啟動并通過在適當的時候阻止或終止連接來屏蔽應用服務器,以提供應用層安全性。
為什么應用層網關很重要?應用程序對于業務運營和日常生活至關重要,但攻擊越來越多地針對這些應用程序和 IT 基礎設施的應用程序層。為確保業務連續性并保護敏感數據和個人身份信息 (PII),安全措施必須專門針對應用層。應用層網關是保護應用程序及其包含的數據以確保安全應用程序交付的一種選擇。
應用層網關如何工作?
通過充當應用程序服務器的代理并管理SIP和 FTP等應用程序協議,應用層網關通常使用深度數據包檢查來檢測和阻止攻擊,然后再啟動應用程序會話或允許流量傳遞到應用程序。應用層網關的能力通常超過應用防火墻或網絡應用防火墻的能力。
SIP和ALG如何相互作用
要了解為什么SIP ALG對于現代SIP電話系統來說如此成問題,請查看嘗試撥打SIP電話時涉及的五步過程。SIP有助于打開和終止數據連接,但對于SIP呼叫,中間有幾個步驟。以下是最重要的五個:
雖然這似乎是一個漫長而復雜的過程,可以雙向發送數據,但只需幾秒鐘即可完成。從連接的角度來看,這樣做的問題是,具有五部分連接過程意味著當ALG在發送/到達數據時修改數據時,數據包丟失的可能性增加。
為什么ALG應該被禁用?在現代SIP傳出和傳入VoIP呼叫期間,ALG修改數據包是有問題的,特別是考慮到該服務在大多數商業路由器上的實現有多差。ALG服務旨在提供更清晰的連接,但由于它不穩定地修改數據包,因此通常相反。
每次系統確認并確認連接嘗試時,ALG都會修改正在發送的SIP數據包。這是因為從專用IP地址和端口到公共IP地址和端口的轉換是通過腳本完成的。編寫腳本是非常危險的-有時在翻譯過程中,消息的重要部分會丟失。這將以不同的方式影響VoIP呼叫:
