安全與VPN-ALG技術(shù)介紹-D_第1頁
安全與VPN-ALG技術(shù)介紹-D_第2頁
安全與VPN-ALG技術(shù)介紹-D_第3頁
安全與VPN-ALG技術(shù)介紹-D_第4頁
免費預覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、,安全與VPN-ALG技術(shù)介紹技術(shù)介紹安全和 VPN 業(yè)務ALG PAGE 3ALGALG 簡介ALG(Application Level Gateway,應用層網(wǎng)關)主要完成對應用層報文的處理。通常情況下,NAT 只對報文頭中的 IP 地址和端口信息進行轉(zhuǎn)換,不對應用層數(shù)據(jù)載荷中的字段進行分析。然而一些特殊協(xié)議,它們報文的數(shù)據(jù)載荷中可能包含 IP 地址或端口信息,這些內(nèi)容不能被 NAT 進行有效的轉(zhuǎn)換,就可能導致問題。例如,F(xiàn)TP 應用就由數(shù)據(jù)連接和控制連接共同完成,而且數(shù)據(jù)連接的建立動態(tài)地由控制連接中的載荷字段信息決定,這就需要 ALG 來完成載荷字段信息的轉(zhuǎn)換,以保證后續(xù)數(shù)據(jù)連接的正確建

2、立。ALG 在與 NAT(Network Address Translation,網(wǎng)絡地址轉(zhuǎn)換)、ASPF(Application Specific Packet Filter,基于應用層狀態(tài)的包過濾)配合使用的情況下,可以實現(xiàn)地址轉(zhuǎn)換、數(shù)據(jù)通道檢測和應用層狀態(tài)檢查的功能。地址轉(zhuǎn)換對報文應用層數(shù)據(jù)載荷中攜帶的 IP 地址、端口、協(xié)議類型(TCP 或者 UDP)、對端地址(在數(shù)據(jù)載荷中帶有對端的地址)進行地址轉(zhuǎn)換。數(shù)據(jù)通道檢測提取數(shù)據(jù)通道信息,為后續(xù)的報文連接建立數(shù)據(jù)通道。此處的數(shù)據(jù)通道為相對于用戶的控制連接而言的數(shù)據(jù)連接。應用層狀態(tài)檢查對報文的應用層協(xié)議狀態(tài)進行檢查,若正確則更新報文狀態(tài)機進行

3、下一步處理,否則丟棄報文。本特性支持對多種應用層協(xié)議的 ALG 處理,不同的協(xié)議對以上三種功能的支持情況有所不同,實際中根據(jù)具體需要選擇支持全部或部分功能。目前實現(xiàn) ALG 功能的常用應用層協(xié)議包括:DNS(Domain Name System,域名系統(tǒng))FTP(File Transfer Protocol,文件傳輸協(xié)議)H.323(包括 RAS、H.225、H.245),一種多媒體會話協(xié)議HTTP(Hyper Text Transport Protocol,超級文本傳輸協(xié)議)ICMP(Internet Control Message Protocol,Internet 控制報文協(xié)議)ILS(

4、Internet Locator Server,Internet 定位服務)MSN/QQ,兩種常見的語音視頻通訊協(xié)議NBT(Network Basic Input/Output System,網(wǎng)絡基本輸入/輸出系統(tǒng))RTSP(Real-Time Streaming Protocol,實時流協(xié)議)SIP(Session Initiation Protocol,會話發(fā)起協(xié)議)SQLNET,一種 Oracle 數(shù)據(jù)庫語言TFTP(Trivial File Transfer Protocol,簡單文件傳輸協(xié)議)下面以FTP協(xié)議為例,簡單描述使能ALG特性的設備在網(wǎng)絡中的工作過程。如 HYPERLINK

5、 l _bookmark0 圖 1 所示,位于外部網(wǎng)絡的客戶端以PASV方式訪問內(nèi)部網(wǎng)絡的FTP服務器,經(jīng)過中間的設備Router進行NAT轉(zhuǎn)換,該設備上使能了ALG特性。圖1 PASV 方式的FTP-ALG整個通信過程包括如下四個階段:建立控制通道客戶端向服務器發(fā)送 TCP 連接請求。TCP 連接建立成功后,服務器和客戶端進入用戶認證階段。若 TCP 連接失敗,服務器會斷開與客戶端的連接。用戶認證客戶端向服務器發(fā)送認證請求,報文中包含 FTP 命令(USER、PASSWORD)及命令所對應的內(nèi)容??蛻舳税l(fā)送的認證請求報文在通過配置了 ALG 的設備時,報文載荷中攜帶的命令字將會被解析出來,用于進行狀態(tài)機轉(zhuǎn)換過程是否正確的檢查。若狀態(tài)機轉(zhuǎn)換發(fā)生錯誤,則丟棄報文。這樣可防止客戶端發(fā)送狀態(tài)機錯誤的報文攻擊服務器或者非法登陸服務器,起到保護服務器的作用??蛻舳说恼J證請求報文通過 ALG 處理之后,到達服務器端,服務器將對其進行響應。創(chuàng)建數(shù)據(jù)通道認證狀態(tài)正確且用戶是服務器已經(jīng)授權(quán)的客戶端,才能和服務器建立數(shù)據(jù)連接,進行數(shù)據(jù)的交互。如 HYPERLINK l _bookmark0 圖 1所示,當客戶端發(fā)送“PASV”命令發(fā)起連接時,服務器會在發(fā)送給客戶端的PASV響應報文中攜帶自己的私網(wǎng)地址和端口號(IP1,Port1),響應報文經(jīng)過ALG設備時被解析,其中攜帶的服務器的私網(wǎng)地址和端口

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論