久久精品视,亚洲av乱码一区二区三区按摩,欧美大黄,亚洲青青

ALG定議 

      ALG-是英語Application Layer Gateway，或application-level gateway，簡稱為ALG，中文意思：應(yīng)用層網(wǎng)關(guān)。是一種NAT穿透技術(shù)。就應(yīng)用層面來說，它允許修改匣道上的NAT traversal的過濾規(guī)則，完成特定網(wǎng)絡(luò)傳輸協(xié)議上的地址和端口的轉(zhuǎn)換。舉例來說，像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323，這些都可以使用ALG來針對應(yīng)用程序在地址及端口轉(zhuǎn)換上的需求。在RFC 2663中定義了這個功能。

應(yīng)用層網(wǎng)關(guān) (ALG) 是一種安全軟件或設(shè)備，代表網(wǎng)絡(luò)上的應(yīng)用服務(wù)器運行，保護服務(wù)器和應(yīng)用免受可能惡意的流量的影響。是用于管理SIP（會話發(fā)起協(xié)議）和FTP（文件傳輸協(xié)議）等特殊應(yīng)用協(xié)議的軟件組件。ALG 充當(dāng) Internet 和應(yīng)用服務(wù)器之間的中介，可以處理相應(yīng)的協(xié)議，并充當(dāng)端點，控制對應(yīng)用服務(wù)器的訪問權(quán)限。為此，攔截和分析相應(yīng)的網(wǎng)絡(luò)流量，分配資源并定義允許通過網(wǎng)關(guān)訪問的動態(tài)規(guī)則。

應(yīng)用層網(wǎng)關(guān)有哪些功能？

它使客戶端應(yīng)用程序能夠使用動態(tài) TCP/UDP 端口與服務(wù)器應(yīng)用程序的已知端口進行通信，即使防火墻只允許有限數(shù)量的端口。如果沒有這樣的網(wǎng)關(guān)，這些要么被阻止，要么網(wǎng)絡(luò)管理員將不得不在防火墻中打開大量端口。這反過來可能導(dǎo)致網(wǎng)絡(luò)安全性的削弱。

它識別特定于應(yīng)用程序的命令并提供對它們的擴展控制。

它可以在網(wǎng)絡(luò)級別操縱地址信息，可以從應(yīng)用程序的有效負載中識別這些信息。

它同步不同主機之間的多個流或會話。

可以在基礎(chǔ)設(shè)施的應(yīng)用層（在 OSI 模型中通常稱為第 7 層）執(zhí)行各種功能。這些功能可能包括地址和端口轉(zhuǎn)換、資源分配、應(yīng)用響應(yīng)控制以及數(shù)據(jù)和控制流量的同步。通過充當(dāng)應(yīng)用服務(wù)器的代理并管理諸如SIP和 FTP 之類的應(yīng)用協(xié)議，應(yīng)用層網(wǎng)關(guān)可以控制應(yīng)用會話的啟動并通過在適當(dāng)?shù)臅r候阻止或終止連接來屏蔽應(yīng)用服務(wù)器，以提供應(yīng)用層安全性。

為什么應(yīng)用層網(wǎng)關(guān)很重要？

應(yīng)用程序?qū)τ跇I(yè)務(wù)運營和日常生活至關(guān)重要，但攻擊越來越多地針對這些應(yīng)用程序和 IT 基礎(chǔ)設(shè)施的應(yīng)用程序?qū)?。為確保業(yè)務(wù)連續(xù)性并保護敏感數(shù)據(jù)和個人身份信息 (PII)，安全措施必須專門針對應(yīng)用層。應(yīng)用層網(wǎng)關(guān)是保護應(yīng)用程序及其包含的數(shù)據(jù)以確保安全應(yīng)用程序交付的一種選擇。

 

應(yīng)用層網(wǎng)關(guān)如何工作？

通過充當(dāng)應(yīng)用程序服務(wù)器的代理并管理SIP和 FTP等應(yīng)用程序協(xié)議，應(yīng)用層網(wǎng)關(guān)通常使用深度數(shù)據(jù)包檢查來檢測和阻止攻擊，然后再啟動應(yīng)用程序會話或允許流量傳遞到應(yīng)用程序。應(yīng)用層網(wǎng)關(guān)的能力通常超過應(yīng)用防火墻或網(wǎng)絡(luò)應(yīng)用防火墻的能力。
SIP和ALG如何相互作用

要了解為什么SIP ALG對于現(xiàn)代SIP電話系統(tǒng)來說如此成問題，請查看嘗試撥打SIP電話時涉及的五步過程。SIP有助于打開和終止數(shù)據(jù)連接，但對于SIP呼叫，中間有幾個步驟。以下是最重要的五個：

邀請階段：當(dāng)您聯(lián)系其他呼叫者以發(fā)起呼叫時，會發(fā)生這種情況。邀請從您這邊開始。

邀請響應(yīng)階段：當(dāng)連接發(fā)生時，響應(yīng)將發(fā)送回初始撥號程序。

應(yīng)答階段：應(yīng)答階段是對入站呼叫的確認，而不是呼叫本身。該過程的這一部分也在接收方啟動。

確認階段：這是對呼叫連接的最終確認。這是從您的終端（發(fā)起方）發(fā)出的。

呼叫階段：完成這四個步驟后，將發(fā)生實際的呼叫。這是雙向連接。

雖然這似乎是一個漫長而復(fù)雜的過程，可以雙向發(fā)送數(shù)據(jù)，但只需幾秒鐘即可完成。從連接的角度來看，這樣做的問題是，具有五部分連接過程意味著當(dāng)ALG在發(fā)送/到達數(shù)據(jù)時修改數(shù)據(jù)時，數(shù)據(jù)包丟失的可能性增加。

為什么ALG應(yīng)該被禁用？

在現(xiàn)代SIP傳出和傳入VoIP呼叫期間，ALG修改數(shù)據(jù)包是有問題的，特別是考慮到該服務(wù)在大多數(shù)商業(yè)路由器上的實現(xiàn)有多差。ALG服務(wù)旨在提供更清晰的連接，但由于它不穩(wěn)定地修改數(shù)據(jù)包，因此通常相反。

 

每次系統(tǒng)確認并確認連接嘗試時，ALG都會修改正在發(fā)送的SIP數(shù)據(jù)包。這是因為從專用IP地址和端口到公共IP地址和端口的轉(zhuǎn)換是通過腳本完成的。編寫腳本是非常危險的-有時在翻譯過程中，消息的重要部分會丟失。這將以不同的方式影響VoIP呼叫：

注冊失敗–由于在呼叫期間需要多次確認，如果有任何失敗，呼叫將無法連接。這稱為注冊失敗，這通常是SIP ALG在后臺工作的直接結(jié)果。

單向音頻-你能聽到對方，但對方聽不到你的聲音，這些單向音頻SIP呼叫通常是由于防火墻設(shè)置不當(dāng)或ALG修改數(shù)據(jù)包以使呼叫一端的音頻丟失的結(jié)果。

通話質(zhì)量下降-當(dāng)數(shù)據(jù)包在任何基于互聯(lián)網(wǎng)的通話中丟失時，您將開始聽到靜電，聲音傳輸失誤或回聲。修改調(diào)用會在傳輸或接收過程中降低數(shù)據(jù)質(zhì)量。

丟失的連接-使用此路由器服務(wù)，您可以輕松地完全丟失呼叫。當(dāng)數(shù)據(jù)丟失且無法恢復(fù)時，很容易斷開連接。