ALG技術白皮書
1 概述 1.1 產生背景 在應用層協議中,有很多協議都包含多通道的信息,比如多媒體協議(H.323、 SIP等)、FTP、SQLNET等。這種多通道的應用需要首先在控制通道中對后續數 據通道的地址和端口進行協商,然后根據協商結果創建多個數據通道連接。在NAT 的實際應用過程中,NAT僅對網絡層報文的報文頭進行IP地址的識別和轉換,對于 應用層協議協商過程中報文載荷攜帶的地址信息則無法進行識別和轉換,因此在有 NAT處理的組網方案中,NAT利用ALG技術可以對多通道協議進行應用層的報文信 息的解析和地址轉換,保證應用層上通信的正確性。 在傳統的包過濾防火墻中,也會遇到類似問題。由于包過濾防火墻是基于IP包中的 源地址、目的地址、源端口和目的端口來判斷是否允許包通過,這種基于靜態IP包 頭的匹配雖然可以允許或者拒絕特定的應用層服務,但無法理解服務的上下文會 話,而且對于多通道的應用層協議,其數據通道是動態協商的,無法預先知道數據 通道的地址和端口,無法制定完善的安全策略。ASPF利用ALG技術便可以解決包 過濾防火墻遇到的問題,實現對多通道應用協議的動態檢測。 綜上所述,ALG和NAT、ASPF特性的配合使用,可以解決這些特性遇到的應用層 協議的多通道問題,進而可以協助網絡設備實現整體的網絡安全解決方案。 1.2 技術優點 ALG和NAT、ASPF等特性配合使用,為內部網絡和外部網絡之間的通信提供基于 應用的訪問控制,具有以下優點: z ALG 統一對各應用層協議報文進行解析處理,避免了 NAT、ASPF 特性對同 一類報文應用層協議的重復解析,可以有效提高報文轉發效率。 z ALG 的狀態檢測是基于應用層協議的,能夠監聽每一個應用的每
