ALG:应用层网关(防火墙)
也简称为“ALG”、APP应用层防火墙或APP应用层代理防火墙。 在windows上,进程名为alg.exe,APP应用层网关通常被描述为第三代防火墙。 当受信任网络上的用户尝试连接到不可信网络上的服务(如互联网)时,会在防火墙内的代理服务器上启动APP应用程序。 代理服务器可以安全地伪装成互联网上的实际服务器。 评估请求,并根据各个网络服务的规则决定是接受还是拒绝请求。 WinXP Home/PRO默认安装的启动类型为手动。
ALG作为NAT透明的APP应用,知道传统的NAT不能变更APP应用层的IP地址,所以最直接的方法之一是直接变更APP应用层的IP地址,在获得终端的私有地址时直接将其公用地址
1:ALG用在什么地方?
ALG用于以下两种情况:
答:需要创建动态连接才能应用协议。 协议内容中列出了创建动态连接所需的ip地址和端口。 由于这些ip地址和端口是动态的,安全设备无法通过静态过滤规则允许或禁止这些连接,因此必须动态创建连接。 例如FTP协议。 b ) APP应用协议的通信两端通过了NAT设备。 由于协议可能具有专用网络地址,因此必须通过NAT设备将其转换为互联网可寻址的地址。 或者,协议的两端都设置了路由。 该方法只能在实验室使用,不能在互联网上使用。 如果NAT设备需要支持多个客户端或服务器,则还必须更改端口。 要修改协议内容,需要同时修改数据包的长度、校验和等。 当数据包长度超过MTU时,数据包将被分片。
2:ALG的安全问题
动态连接只是在创建时描述连接的一部分,因此在建立实际连接时存在安全隐患。 (扩展安全设备的安全策略可能会创建未经验证的连接,因此在实现ALG时应注意不要使动态连接的参数过于模糊。 )
3:ALG中的协议解析问题
典型的ALG实现采用内容匹配方法直接在字符串中查找相关的ip地址和端口。 这样做的好处是实现起来很简单,坏处是不能正确匹配协议。 更好的方法是使用协议分析,但这很复杂,对于基于tcp的APP协议,还可能存在流重组问题(无法确定包边界)。 因此,一般简单协议是内容匹配,复杂的协议用协议来解析(特别是基于udp的协议)
4:哪些情况下不能用ALG
如果协议内容已加密,则ALG不可用。 (不能分析和修改协议的内容。 )
5:ALG相关的RFC
RFC 3027论述了ALG相关问题。
防火墙技术不断发展。 目前使用较多的还是第二代防火墙、状态防火墙。 主要限于发送源地址、目的地地址、发送源端口、目的地端口、协议,不能深入识别APP应用内的问题。 比如80端口,网页还是迅雷下载? ALG可以识别。 准备的是,ALg是三代防火墙的一种技术,是今后防火墙的发展趋势。 包括ALg、IPS、AV、QOS、互联网连接行为等。 成为一体。