什么是ALG(应用层网关)

ALG定议 

      ALG-是英语Application Layer Gateway,或application-level gateway,简称为ALG,中文意思:应用层网关是一种NAT穿透技术。就应用层面来说,它允许修改匣道上的NAT traversal的过滤规则,完成特定网络传输协议上的地址和端口的转换。举例来说,像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323,这些都可以使用ALG来针对应用程序在地址及端口转换上的需求。在RFC 2663中定义了这个功能。
应用层网关是一种安全软件
应用层网关 (ALG) 是一种安全软件或设备,代表网络上的应用服务器运行,保护服务器和应用免受可能恶意的流量的影响。是用于管理SIP(会话发起协议)和FTP(文件传输协议)等特殊应用协议的软件组件。ALG 充当 Internet 和应用服务器之间的中介,可以处理相应的协议,并充当端点,控制对应用服务器的访问权限。为此,拦截和分析相应的网络流量,分配资源并定义允许通过网关访问的动态规则。

应用层网关有哪些功能?


它使客户端应用程序能够使用动态 TCP/UDP 端口与服务器应用程序的已知端口进行通信,即使防火墙只允许有限数量的端口。如果没有这样的网关,这些要么被阻止,要么网络管理员将不得不在防火墙中打开大量端口。这反过来可能导致网络安全性的削弱。
它识别特定于应用程序的命令并提供对它们的扩展控制。
应用层网关有哪些功能
它可以在网络级别操纵地址信息,可以从应用程序的有效负载中识别这些信息。
它同步不同主机之间的多个流或会话。
可以在基础设施的应用层(在 OSI 模型中通常称为第 7 层)执行各种功能。这些功能可能包括地址和端口转换、资源分配、应用响应控制以及数据和控制流量的同步。通过充当应用服务器的代理并管理诸如SIP和 FTP 之类的应用协议,应用层网关可以控制应用会话的启动并通过在适当的时候阻止或终止连接来屏蔽应用服务器,以提供应用层安全性。

为什么应用层网关很重要?


应用程序对于业务运营和日常生活至关重要,但攻击越来越多地针对这些应用程序和 IT 基础设施的应用程序层。为确保业务连续性并保护敏感数据和个人身份信息 (PII),安全措施必须专门针对应用层。应用层网关是保护应用程序及其包含的数据以确保安全应用程序交付的一种选择。
 

应用层网关如何工作?


通过充当应用程序服务器的代理并管理SIP和 FTP等应用程序协议,应用层网关通常使用深度数据包检查来检测和阻止攻击,然后再启动应用程序会话或允许流量传递到应用程序。应用层网关的能力通常超过应用防火墙或网络应用防火墙的能力。

SIP和ALG如何相互作用

SIP和ALG如何相互作用
要了解为什么SIP ALG对于现代SIP电话系统来说如此成问题,请查看尝试拨打SIP电话时涉及的五步过程。SIP有助于打开和终止数据连接,但对于SIP呼叫,中间有几个步骤。以下是最重要的五个:
  1. 邀请阶段:当您联系其他呼叫者以发起呼叫时,会发生这种情况。邀请从您这边开始。
  2. 邀请响应阶段:当连接发生时,响应将发送回初始拨号程序。
  3. 应答阶段:应答阶段是对入站呼叫的确认,而不是呼叫本身。该过程的这一部分也在接收方启动。
  4. 确认阶段:这是对呼叫连接的最终确认。这是从您的终端(发起方)发出的。
  5. 呼叫阶段:完成这四个步骤后,将发生实际的呼叫。这是双向连接。
虽然这似乎是一个漫长而复杂的过程,可以双向发送数据,但只需几秒钟即可完成。从连接的角度来看,这样做的问题是,具有五部分连接过程意味着当ALG在发送/到达数据时修改数据时,数据包丢失的可能性增加。

为什么ALG应该被禁用?

在现代SIP传出和传入VoIP呼叫期间,ALG修改数据包是有问题的,特别是考虑到该服务在大多数商业路由器上的实现有多差。ALG服务旨在提供更清晰的连接,但由于它不稳定地修改数据包,因此通常相反。
 
每次系统确认并确认连接尝试时,ALG都会修改正在发送的SIP数据包。这是因为从专用IP地址和端口到公共IP地址和端口的转换是通过脚本完成的。编写脚本是非常危险的-有时在翻译过程中,消息的重要部分会丢失。这将以不同的方式影响VoIP呼叫:
  • 注册失败–由于在呼叫期间需要多次确认,如果有任何失败,呼叫将无法连接。这称为注册失败,这通常是SIP ALG在后台工作的直接结果。
  • 单向音频-你能听到对方,但对方听不到你的声音,这些单向音频SIP呼叫通常是由于防火墙设置不当或ALG修改数据包以使呼叫一端的音频丢失的结果。
  • 通话质量下降-当数据包在任何基于互联网的通话中丢失时,您将开始听到静电,声音传输失误或回声。修改调用会在传输或接收过程中降低数据质量。
  • 丢失的连接-使用此路由器服务,您可以轻松地完全丢失呼叫。当数据丢失且无法恢复时,很容易断开连接。
        使用SIP呼叫时,更有可能以意外的方式错误地修改数据包,这会对您的呼叫产生不利影响。幸运的是,禁用路由器服务通常在路由器Web界面中很容易完成。如果您的设备上没有该功能,则应考虑购买新的路由器。

如何在路由器上禁用SIP ALG

        进入路由器的界面几乎总是非常容易。每个路由器都有路由器接口的IP地址打印在贴花上,其中还包括默认登录信息,以便您通过浏览器更改设置。默认情况下,许多制造商将用户的登录信息设置为“admin”,将凭证设置为“密码”-尽管有些制造商可能不需要密码。对于商用路由器,您需要将此登录信息更改为更安全的信息。
Router Manufacturer Common IP Address How to Disable
Asus 192.168.1.1
  • Click on WAN
  • Click NAT passthrough 
  • Click the drop-down menu to disable SIP passthrough
  • Click apply
TP-Link 192.168.1.1
  • Click Advanced Setup
  • Click on NAT
  • Click on ALG
  • Uncheck the box labeled SIP Enabled
  • Click Save/Apply
Netgear 192.168.0.1
  • Click Advanced
  • Click WAN Setup
  • Check the box called Disable SIP ALG
  • Click Apply
D-Link 192.168.0.1
  • Click Advanced
  • Click Firewall Settings
  • Uncheck the box called Enable SPI
  • Change UDP and TCP Endpoint Filtering to Endpoint Independent
  • Uncheck SIP under (ALG) Configuration
  • Click Save Settings
        并非每个路由器品牌都可以轻松禁用此功能,因此让我们帮助您了解世界上最受欢迎的路由器制造商的一些常用方法。重要的是要注意,思科有一个更复杂的过程,因为您需要访问命令行才能更改路由器设置。

下一篇

软交换媒体服务器的应用

通信百科

软交换媒体服务器的应用

下面以一个IP传真业务为例,介绍媒体服务器的应用方式。这种业务支持把基于IP的实时传真转换成电子邮件的能力。为了实现这一目标,媒体服务器需要支持以下的传真标准。 (1) T.3 ...

相关内容

网关的构件和特性(三)

网关的构件和特性(三)

支持标准协议 许多网关生产商已经开发了他们专用的信令协议、编码协议和......

通信百科

2022-04-13

网关的构件和特性(二)

网关的构件和特性(二)

配置方式 所有的网关,从最简单的基于PC机的网关到最复杂的可以替代第......

通信百科

2022-04-13

网关的构件和特性(一)

网关的构件和特性(一)

无论网关的类别如何,不同类的网关之间在软件和硬件上必定存在一些相同......

通信百科

2022-04-13