什么是ALG(应用层网关)

      ALG-是英语Application Layer Gateway，或application-level gateway，简称为ALG，中文意思：应用层网关。是一种NAT穿透技术。就应用层面来说，它允许修改匣道上的NAT traversal的过滤规则，完成特定网络传输协议上的地址和端口的转换。举例来说，像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323，这些都可以使用ALG来针对应用程序在地址及端口转换上的需求。在RFC 2663中定义了这个功能。

应用层网关 (ALG) 是一种安全软件或设备，代表网络上的应用服务器运行，保护服务器和应用免受可能恶意的流量的影响。是用于管理SIP（会话发起协议）和FTP（文件传输协议）等特殊应用协议的软件组件。ALG 充当 Internet 和应用服务器之间的中介，可以处理相应的协议，并充当端点，控制对应用服务器的访问权限。为此，拦截和分析相应的网络流量，分配资源并定义允许通过网关访问的动态规则。

---

它使客户端应用程序能够使用动态 TCP/UDP 端口与服务器应用程序的已知端口进行通信，即使防火墙只允许有限数量的端口。如果没有这样的网关，这些要么被阻止，要么网络管理员将不得不在防火墙中打开大量端口。这反过来可能导致网络安全性的削弱。

它识别特定于应用程序的命令并提供对它们的扩展控制。

它可以在网络级别操纵地址信息，可以从应用程序的有效负载中识别这些信息。

它同步不同主机之间的多个流或会话。

可以在基础设施的应用层（在 OSI 模型中通常称为第 7 层）执行各种功能。这些功能可能包括地址和端口转换、资源分配、应用响应控制以及数据和控制流量的同步。通过充当应用服务器的代理并管理诸如SIP和 FTP 之类的应用协议，应用层网关可以控制应用会话的启动并通过在适当的时候阻止或终止连接来屏蔽应用服务器，以提供应用层安全性。

---

应用程序对于业务运营和日常生活至关重要，但攻击越来越多地针对这些应用程序和 IT 基础设施的应用程序层。为确保业务连续性并保护敏感数据和个人身份信息 (PII)，安全措施必须专门针对应用层。应用层网关是保护应用程序及其包含的数据以确保安全应用程序交付的一种选择。

 

---

通过充当应用程序服务器的代理并管理SIP和 FTP等应用程序协议，应用层网关通常使用深度数据包检查来检测和阻止攻击，然后再启动应用程序会话或允许流量传递到应用程序。应用层网关的能力通常超过应用防火墙或网络应用防火墙的能力。

SIP和ALG如何相互作用

1. 邀请阶段：当您联系其他呼叫者以发起呼叫时，会发生这种情况。邀请从您这边开始。
2. 邀请响应阶段：当连接发生时，响应将发送回初始拨号程序。
3. 应答阶段：应答阶段是对入站呼叫的确认，而不是呼叫本身。该过程的这一部分也在接收方启动。
4. 确认阶段：这是对呼叫连接的最终确认。这是从您的终端（发起方）发出的。
5. 呼叫阶段：完成这四个步骤后，将发生实际的呼叫。这是双向连接。

为什么ALG应该被禁用？

• 注册失败–由于在呼叫期间需要多次确认，如果有任何失败，呼叫将无法连接。这称为注册失败，这通常是SIP ALG在后台工作的直接结果。
• 单向音频-你能听到对方，但对方听不到你的声音，这些单向音频SIP呼叫通常是由于防火墙设置不当或ALG修改数据包以使呼叫一端的音频丢失的结果。
• 通话质量下降-当数据包在任何基于互联网的通话中丢失时，您将开始听到静电，声音传输失误或回声。修改调用会在传输或接收过程中降低数据质量。
• 丢失的连接-使用此路由器服务，您可以轻松地完全丢失呼叫。当数据丢失且无法恢复时，很容易断开连接。

如何在路由器上禁用SIP ALG