ALG技术白皮书

1 概述

1.1 产生背景

在应用层协议中，有很多协议都包含多通道的信息，比如多媒体协议（H.323、 SIP等）、FTP、SQLNET等。这种多通道的应用需要首先在控制通道中对后续数 据通道的地址和端口进行协商，然后根据协商结果创建多个数据通道连接。在NAT 的实际应用过程中，NAT仅对网络层报文的报文头进行IP地址的识别和转换，对于 应用层协议协商过程中报文载荷携带的地址信息则无法进行识别和转换，因此在有 NAT处理的组网方案中，NAT利用ALG技术可以对多通道协议进行应用层的报文信 息的解析和地址转换，保证应用层上通信的正确性。 在传统的包过滤防火墙中，也会遇到类似问题。由于包过滤防火墙是基于IP包中的 源地址、目的地址、源端口和目的端口来判断是否允许包通过，这种基于静态IP包 头的匹配虽然可以允许或者拒绝特定的应用层服务，但无法理解服务的上下文会 话，而且对于多通道的应用层协议，其数据通道是动态协商的，无法预先知道数据 通道的地址和端口，无法制定完善的安全策略。ASPF利用ALG技术便可以解决包 过滤防火墙遇到的问题，实现对多通道应用协议的动态检测。 综上所述，ALG和NAT、ASPF特性的配合使用，可以解决这些特性遇到的应用层 协议的多通道问题，进而可以协助网络设备实现整体的网络安全解决方案。