安全与VPN-ALG技术介绍.pdf

安全与VPN-ALG技术介绍 技术介绍 安全和 VPN 业务 ALG ALG ALG 简介 ALG （Application Level Gateway ，应用层网关）主要完成对应用层报文的处理。 通常情况下，NAT 只对报文头中的 IP 地址和端口信息进行转换，不对应用层数据载 荷中的字段进行分析。然而一些特殊协议，它们报文的数据载荷中可能包含 IP 地址 或端口信息，这些内容不能被 NAT 进行有效的转换，就可能导致问题。 例如，FTP 应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由 控制连接中的载荷字段信息决定，这就需要 ALG 来完成载荷字段信息的转换，以保 证后续数据连接的正确建立。 ALG 在与 NAT （Network Address Translation，网络地址转换）、ASPF （Application Specific Packet Filter，基于应用层状态的包过滤）配合使用的情况下，可以实现地 址转换、数据通道检测和应用层状态检查的功能。 地址转换 对报文应用层数据载荷中携带的 IP 地址、端口、协议类型（TCP 或者 UDP）、对 端地址（在数据载荷中带有对端的地址）进行地址转换。 数据通道检测 提取数据通道信息，为后续的报文连接建立数据通道。此处的数据通道为相对于用 户的控制连接而言的数据连接。 应用层状态检查 对报文的应用层协议状态进行检查，若正确则更新报文状态机进行下一步处理，否 则丢弃报文。 本特性支持对多种应用层协议的 ALG 处理，不同的协议对以上三种功能的支持情况 有所不同，实际中根据具体需要选择支持全部或部分功能。 目前实现ALG 功能的常用应用层协议包括： DNS （Domain Name System，域名系统） FTP （File Transfer Protocol，文件传输协议） H.323 （包括RAS、H.225、H.245），一种多媒体会话协议 HTTP （Hyper Text Transport Protocol，超级文本传输协议） ICMP （Internet Control Message Protocol，Internet 控制报文协议） ILS （Internet Locator Server，Internet 定位服务） 1 技术介绍 安全和 VPN 业务 ALG MSN/QQ，两种常见的语音视频通讯协议 NBT （Network Basic Input/Output System，网络基本输入/输出系统） RTSP （Real-Time Streaming Protocol，实时流协议） SIP （Session Initiation Protocol，会话发起协议） SQLNET，一种 Oracle 数据库语言 TFTP （Trivial File Transfer Protocol，简单文件传输协议） 下面以FTP协议为例，简单描述使能ALG特性的设备在网络中的工作过程。如 图 1 所示，位于外部网络的客户端以PASV方式访问内部网络的FTP服务器，经过中间的