- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
,
,
安全与VPN-ALG技术介绍
技术介绍安全和 VPN
技术介绍
安全和 VPN 业务
ALG
PAGE
PAGE 1
ALG
ALG 简介
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的处理。通常情况下,NAT 只对报文头中的 IP 地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而一些特殊协议,它们报文的数据载荷中可能包含 IP 地址或端口信息,这些内容不能被 NAT 进行有效的转换,就可能导致问题。
例如,FTP 应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要 ALG 来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
ALG 在与 NAT(Network Address Translation,网络地址转换)、ASPF(Application Specific Packet Filter,基于应用层状态的包过滤)配合使用的情况下,可以实现地址转换、数据通道检测和应用层状态检查的功能。
地址转换
对报文应用层数据载荷中携带的 IP 地址、端口、协议类型(TCP 或者 UDP)、对端地址(在数据载荷中带有对端的地址)进行地址转换。
数据通道检测
提取数据通道信息,为后续的报文连接建立数据通道。此处的数据通道为相对于用户的控制连接而言的数据连接。
应用层状态检查
对报文的应用层协议状态进行检查,若正确则更新报文状态机进行下一步处理,否则丢弃报文。
本特性支持对多种应用层协议的 ALG 处理,不同的协议对以上三种功能的支持情况有所不同,实际中根据具体需要选择支持全部或部分功能。
目前实现 ALG 功能的常用应用层协议包括:
DNS(Domain Name System,域名系统)
FTP(File Transfer Protocol,文件传输协议)
H.323(包括 RAS、H.225、H.245),一种多媒体会话协议
HTTP(Hyper Text Transport Protocol,超级文本传输协议)
ICMP(Internet Control Message Protocol,Internet 控制报文协议)
ILS(Internet Locator Server,Internet 定位服务)
MSN/QQ,两种常见的语音视频通讯协议
NBT(Network Basic Input/Output System,网络基本输入/输出系统)
RTSP(Real-Time Streaming Protocol,实时流协议)
SIP(Session Initiation Protocol,会话发起协议)
SQLNET,一种 Oracle 数据库语言
TFTP(Trivial File Transfer Protocol,简单文件传输协议)
下面以FTP协议为例,简单描述使能ALG特性的设备在网络中的工作过程。如 图 1 所示,位于外部网络的客户端以PASV方式访问内部网络的FTP服务器,经过中间的设备Router进行NAT转换,该设备上使能了ALG特性。
图
图1 PASV 方式的FTP-ALG
整个通信过程包括如下四个阶段:
建立控制通道
客户端向服务器发送 TCP 连接请求。TCP 连接建立成功后,服务器和客户端进入用户认证阶段。若 TCP 连接失败,服务器会断开与客户端的连接。
用户认证
客户端向服务器发送认证请求,报文中包含 FTP 命令(USER、PASSWORD)及命令所对应的内容。
客户端发送的认证请求报文在通过配置了 ALG 的设备时,报文载荷中携带的命令字将会被解析出来,用于进行状态机转换过程是否正确的检查。若状态机转换发生错误,则丢弃报文。这样可防止客户端发送状态机错误的报文攻击服务器或者非法登陆服务器,起到保护服务器的作用。
客户端的认证请求报文通过 ALG 处理之后,到达服务器端,服务器将对其进行响应。
创建数据通道
认证状态正确且用户是服务器已经授权的客户端,才能和服务器建立数据连接,进行数据的交互。
如 图 1所示,当客户端发送“PASV”命令发起连接时,服务器会在发送给客户端的PASV响应报文中携带自己的私网地址和端口号(IP1,Port1),响应报文经过ALG设备时被解析,其中携带的服务器的私网地址和端口号被转换成其对应的公网地址和端口号(IP2,Port2),之后在该地址和端口与客户端的地址和端口之间将建立起数据通道。
数据交互
客户端和服务器之间的数据交互可以直接通过数据通道来进行。
全文完
您可能关注的文档
- IP组播-组播概述-D.docx
- IRF智能弹性构架-IRF2.0技术介绍-D.docx
- 新教材2020-2021学年北师大版高中数学第二册学案-空间图形基本位置关系的认识-含解析-D.doc
- 新教材2020-2021学年北师大版高中数学第二册学案-立体几何初步-章末综合提升-含解析-D.doc
- OAA构架-ACSEI技术介绍-D.docx
- 新教材2020-2021学年北师大版高中数学第二册学案-三角恒等变换-章末综合提升-含解析-D.doc
- WLAN安全技术介绍-D.docx
- 新教材2020-2021学年北师大版高中数学第二册学案-用余弦定理、正弦定理解三角形-含解析-D.doc
- WLAN服务技术介绍-D.docx
- WLAN漫游技术介绍-D.docx
- 2024年05月山东交通职业学院招考聘用博士研究生50人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽芜湖市弋江区老年学校(大学)工作人员特设岗位公开招聘2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东东营河口区教育类事业单位招考聘用22人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东交通职业学院招考聘用100人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东威海职业学院招考聘用高层次人才2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽石台县事业单位工作人员33人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东滨州市博兴县事业单位公开招聘考察笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽蚌埠固镇县湖沟镇选聘村级后备干部7人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东省安丘市教育和体育局所属事业单位学校公开2024年招考232名工作人员笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东临沂临港经济开发区工作人员(5人)笔试历年典型题及考点剖析附带答案含详解.docx
文档评论(0)