[计算机]ALG在netfilter中的实现.ppt

ALG在netfilter中的实现 droplet@ 目录 alg overview netfilter alg implementation ftp sip 什么是ALG ALG：application level gateway 一种在安全设备里面分析和修改应用层协议内容的技术 ALG的用途 创建动态连接 有些应用层协议在协议交互过程中需要创建动态连接，动态连接的参数通过协议内容传递。连接可以分为控制连接和数据连接。一般来说，包含动态连接参数的连接叫做控制连接；不包含动态连接参数的连接叫做数据连接。由于在配置安全设备的过滤策略时，无法预知动态连接的地址和端口，所以需要ALG技术来帮助动态连接穿越安全设备。 修改协议内容 如果在安全设备上启用了地址转换（NAT）功能，那些在协议内容中传递动态连接参数的应用协议就有可能无法工作（协议内容中的地址有可能是私有地址，或者是需要映射到私有地址的公开地址）。ALG技术可以修改协议内容中的地址或端口，进而帮助这些应用协议正确穿越安全设备。 ALG的实现 关键字匹配 在协议内容里查找地址或端口的关键字。 协议解析 解析协议内容，生成相应的数据结构。 ALG的要点 什么时候创建动态连接？ 根据协议内容判断何时需要创建动态连接。需要注意动态连接的参数。 什么时候修改协议内容？ 开启地址转换功能时才需要修改协议内容。不仅要修改地址，而