一、ALG产生的背景
在应用层协议中,有很多协议都包含多通道的信息,比如多媒体协议(H.323、SIP等)、FTP、PPTP、SQLNET等。这种多通道的应用需要首先在控制通道中对后续数据通道的地址和端口进行协商,然后根据协商结果创建多个数据通道连接。
在NAT的实际应用过程中,NAT仅对网络层报文的报文头进行IP地址的识别和转换,对于应用层协议协商过程中报文载荷携带的地址信息则无法进行识别和转换,导致H.323、FTP等协议出现异常,例如无法连通视频会议、FTP无法传文件等现象。
状态防火墙仅保存了发起链接的状态,而对于多通道的应用层协议,其数据通道是动态协商的,无法预先知道数据通道的地址和端口,无法制定完善的安全策略来放通或是禁止H.323或是FTP协议。
二、ALG解决了哪些问题
1、路由设备NAT技术对多通道协议(如H.323、FTP、PPTP等)的兼容性支持,简化多通道协议的NAT配置,并保证多通道协议经过NAT处理后可正常运行。如仅端口映射内网PPTP服务器的TCP1723端口到公网,即可映射整个PPTP过程到公网,不用再映射GRE到内网的PPTP服务器。
2、状态防火墙对多通道协议(如H.323、FTP、PPTP等)的识别支持,简化多通道的acl配置。如仅放通TCP1723端口,即可放通整个PPTP过程,不用单独放通GRE数据。
三、几个常见的ALG处理不规范所引发的问题:
1、H.323、SIP等视频会议无法建立连接,或建立连接后有画面没声音,有声音没画面,或出现视频会议持续几分钟后即可能随机断开;
2、PPTP接入出现随机断开的不稳定现象;
3、FTP协议仅能查看目录,无法传输文件;以上场景需要先了解对应的协议,知道控制通道与数据通道连接的过程。
四、AF ALG使用的场景
1、NAT环境下:
有FTP、PPTP或视频会议等应用需要通过地址转换进行访问
2、非NAT环境下:
AF没有配置NAT地址转换,如纯路由模式、虚拟网线或透明模式等,AF有FTP、PPTP或视频会议等应用需要通过应用控制策略进行单独放通、不接受对应IP全端口放通;
3、非NAT环境下,应用控制策略放通了访问,则不需要做ALG;
检查ALG配置:
五、开启实时拦截日志并直通或全局排除测试是否可以访问
①以标准版本AF8.0.17-AF8.0.69版本操作路径示例:
可在【系统】-【排障】-【故障排查】-【定向数据流分析】在源IP地址中添加对应的IP或者网段再点击开启实时拦截日志并直通
②以标准版本AF7.4-8.0.13版本操作路径示例:
可在【系统】-【排障】-【数据包拦截日志与直通】点击【开启】-【设置开启条件】在指定IP地址中添加对应的IP或者网段再点击开启实时拦截日志并直通
③以标准版本AF7.3版本操作路径示例:
可在【系统维护】-【数据包拦截日志与直通】点击【开启】-【设置开启条件】在指定IP地址中添加对应的IP或者网段再点击开启实时拦截日志并直通
