ALG:应用层网关(防火墙)
ALG:应用层网关(防火墙)
简称“ALG”(也叫应用层防火墙或应用层代理防火墙),在windows中其进程名是alg.exe,应用层网关通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络(如Internet)上的服务时,该应用被引导至防火墙中的代理服务器。代理服务器可以毫无破绽地伪装成Internet上的真实服务器。它可以对请求进行评估,并根据一套单个网络服务的规则决定允许或拒绝该请求。WinXP Home/PRO默认安装的启动类型为手动。
ALG在作为NAT穿透的应用时,因为我们知道传统的NAT不能改变应用层中的IP地址,那么一个最直接的方法就是直接改变应用层的IP地址,在得到终端的私有地址时就直接绑定其公网地址,为此后可能涉及到的互通做好准备。
1:ALG用在什么地方?
ALG用于以下两种情况:
a:应用协议需要创建动态连接,而创建动态连接所需的ip地址和端口是在协议内容中描述的。由于这些ip地址和端口是动态的,所以安全设备无法通过静态的过滤规则来允许或禁止这些连接,所以就需要动态创建连接。比如FTP协议。 b:应用协议的通讯两端经过了NAT设备。由于协议中携带的地址可能是私有网络地址,因此,需要在NAT设备上把它转换成因特网可以寻址的地址(或者协议两端设置了路由,这种方法只能在实验室里面用,不能在因特网上用),如果NAT设备需要支持多个客户端或服务器,端口也需要修改。修改协议内容,就需要同时修改数据包的长度,校验和等。如果数据包长度超过了MTU,数据包会被分片。
2:ALG的安全问题
动态连接在创建时只是对连接的部分描述(参数不完整),所以在建立真实连接时,会存在安全隐患(放大了安全设备的安全策略,有可能会创建一些未验证的连接,所以在实现ALG时,需要特别注意不要把动态连接的参数设置的过于模糊)
3:ALG中的协议解析问题
一般常见的ALG实现都是采用内容匹配的方法,直接在字符串中找相关的ip地址和端口。这样做的好处是实现简单,坏处是有时不能正确匹配协议。更好的办法是使用协议解析,但这样做比较复杂,如果是基于tcp的应用协议,还可能涉及到流重组的问题(无法确定包边界)。所以一般简单协议用内容匹配,复杂协议用协议解析(特别是基于udp的协议)
4:哪些情况下不能用ALG
如果协议内容加密,就不能使用ALG(无法解析和修改协议内容)
5:ALG相关的RFC
RFC 3027描述了ALG相关的问题。
防火墙技术在不停的发展。目前用的比较多的,还是二代防火墙,状态防火墙。。。主要是针对源地址、目标地址、源端口、目标端口、协议,来进行限制的,并不能深度识别应用内的问题。。
比如80端口,是网页,还是迅雷下载?
ALG可以识别出来。。
准备的说ALg是三代防火墙的一个技术
以后防火墙的趋势: ALg、IPS、AV、QOS、上网行为等。。。多合一。。。
ALG:应用层网关(防火墙)相关推荐
- 应用层网关防火墙简介
1.需求简述 默认拒绝策略,防止意外的网络攻击 只允许内网用户在上班时间访问Internet上知名的www/ftp/mail/流媒体/dns/telnet/ssh服务 拒绝显示www.sina.com ...
- 网络安全:包过滤防火墙和代理防火墙(应用网关防火墙)
一. 背景 如今计算机安全最严重的威胁之一就是恶意用户或软件通过网络对计算机系统的入侵或攻击,加密技术并不能阻止植入了 "特洛伊木马" 的计算机系统通过网络向攻击者泄露秘密信息,因 ...
- 应用层网关调研与基础测试
背景 故事的开始还是源于现阶段各个平台之间有些许的接口调用,但是各个平台之间又相对比较独立,并没有将各个平台整合成一组微服务的需求.现在面临的问题就是各个平台直接都有互相调用的需求,如果各个平台有业务 ...
- 高性能 Java 应用层网关设计实践
前言 上文我们简单阐述了一下接入层网关的实现原理 不少人对 Java 网关的实现也比较感兴趣,所以这篇文章我们来简单谈谈 Java 应用网关设计,本文将会从以下几个方面来阐述 Java 应用层网关的设 ...
- SIP穿越NAT SIP穿越防火墙
FireWall&NAT 其实光口板本质就相当于NAT设备.达到NAT穿透,光口板对SIP处理也就无问题. FireWall是一种被动网络安全防卫技术,位于网络的边界,在两个网络之间执行访问控 ...
- 转-SIP穿越NAT SIP穿越防火墙
FireWall&NAT FireWall是一种被动网络安全防卫技术,位于网络的边界.在两个网络之间运行訪问控制策略.防止外部网络对内部信息资源的非法訪问,也能够阻止特定信息从内部网络被非法 ...
- 防火墙技术之----包过滤(Packet Filter)
1.包过滤防火墙简介 防火墙是指设置在不同网络(任何信任的企业内部网络和不信任的公网)或网络安全域之间的一系列的部件组合.她可以通过检测.限制.分析跨越防火墙的数据流,按照用户的需要对这些数据流进行安 ...
- VOIP穿越防火墙详解
前言: VoIP 刚推出之初期,受到各种因素之干扰,以致非常难用,需要经过繁复的设定才能使用. 最常见到的是某一边的使用者的电脑设定有问题导致单边没有声音,因此收话发话两端都必须是 电脑高手才能顺利进 ...
- 网络安全-防火墙与入侵检测系统
防火墙效率 吞吐量:指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率. 时延:能够衡量出防火墙处理数据的快慢. 丢包率:在特定负载下,指应由网络设备传输,但由资源耗尽而丢弃帧的百分比. 背 ...
- NAT ALG和STUN技术
目录 NAT ALG 应用层网关讲解 Client1使用FTP主动模式建立FTP Client1使用FTP被动模式建立FTP STUN讲解 NAT ALG 应用层网关讲解 ALG主要用来替换应用层信息 ...
最新文章
- Datawhale自组织学习报告!
- conda create -n python 3.6_conda创建python环境
- 用JavaScript怎么实现页面跳转 类:具有相同特征的事物的种类。http://zhidao.baidu.com/question/133995150.html...
- 彭文华:详解数字化转型的破局之道(附直播视频)
- python狗屁不通文章生成器_狗屁不通文章生成器,GitHub火爆的万字啰嗦文章瞬间生成...
- leveldb Arena分析(转载)
- 计算机辅助设计和制造论文,计算机辅助设计与制造CAD-CAM
- ISO9001、ISO14001和ISO45001体系审核时需要准备哪些资料?
- day11 红队工具篇FofaQuakeKunyuSuize水泽Arl灯塔
- 哪些专业不建议跨考计算机
- 关于Bmob的一些浅述
- 宝宝培养 IOS APP 上线
- 用py编一个枪战游戏
- 24 基于单片机空气PM2.5浓度粉尘颗粒物检测系统设计
- 每日科创板之627:柏楚电子航天宏图过会 德马科技等10家获受理
- 腾讯X5内核 在线视频播放 使用说明 By Terry
- Qt使用Q_UNUSED宏处理不使用的形参
- (iOS) 向Hero致敬與分析 (一) Double研究所
- 接入华为应用内支付,验证购买Token接口,返回“rights invalid”
- 华为mate怎么升级鸿蒙系统,怎么升级鸿蒙系统?