锐捷防火墙(WEB)——高级功能——应用层网关ALG

目录

Ⅲ  VOIP目的映射


 

Ⅰ  ALG介绍

一、ALG介绍

 概念介绍

 会话:记录了传输层报文之间的交互信息,包括源IP地址、源端口、目的IP地址、目的端口,协议类型和源/目的IP地址所属的VPN实例。交互信息相同的报文属于一条流,

 通常情况下,  一个会话对应正反两条流,一条流对应一个方向上的一个会话。

 动态通道:当应用层协议报文中携带地址信息时,这些地址信息会被用于建立动态通道,后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。

 技术 ALG技术实现原理

 ALG技术配合NAT特性可支持对报文载荷的地址转换功能;配合ASPF特性可支持动态通道的检测功能,以及对应用层的状态检测功能

 对于多通道应用协议,IP报文数据载荷中携带了地址信息,在NAT的组网环境中,为保证后续动态通道的正确建立,这些数据载荷中的地址也需要进行转换,

 ALG的作用就是对载荷中的地   址进行转换。

 如下是FTP的ALG应用

 FTP报文载荷的ALG处理示意图

      如图所示,私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址192.168.0.10到公网地址50.10.10.10的映射,实现地址的NAT转换,以支持私网主机对公网的访问。在该组网中,如果没有ALG对报文载荷的处理,私网主机发送的Port报文到达服务器端后,服务器无法识别该报文载荷中的私网地址,也就无法建立正确的数据连接。下面是应用了ALG的FTP连接建立过程。

(1)        首先,私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。

(2)        控制连接建立后,私网主机向FTP服务器发送Port报文,报文中携带私网主机指定的数据连接的目的地址和端口,用于通知服务器使用该地址和端口和自己进行数据连接。

(3)        Port报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即,设备将收到的Port报文载荷中的 私网地址192.168.0.10转换成

            公网地址50.10.10.10,端口1024转换成5000。

(4)        公网的FTP服务器收到Port报文后,解析其内容,并向私网主机发起数据连接,该数据连接的目的地址为50.10.10.10,端口为5000。由于该目的地址是一个公网地址,因此后续的

            数据连接就能够成功建立,从而实现私网主机对公网服务器的访问。

二、支持的协议

  支持如下20种协议的ALG配置。

序号

name

port

protocol

1

pptp

1723

6

2

h323

1720

6

3

ras

1719

17

4

tns

1521

6

5

tftp

69

17

6

rtsp

554

6

7

rtsp

7070

6

8

rtsp

8554

6

9

ftp

21

6

10

mms

1863

6

11

pmap

111

6

12

pmap

111

17

13

sip

5060

17

14

dns-udp

53

17

15

rsh

514

6

16

rsh

512

6

17

dcerpc

135

6

18

dcerpc

135

17

19

mgcp

2427

17

20

mgcp

2727

17

    

三、配置ALG

       在有ALG应用的环境下,如果发现ALG应用异常,需要查看此ALG应用是否已经做如下配置,并查看协议名,端口是否正确。

       show system session-helper

查看现有ALG配置

config system session-helper

    edit 1

        set name pptp

        set port 1723

        set protocol 6

    next

     ..........more

    edit 14

        set name dns-udp

        set port 53

        set protocol 17

    next

   ............. more

    edit 20

        set name mgcp

        set port 2727

        set protocol 17

    next

end

默认配置中共20个。删除DNS的ALG,命令如下:

config system session-helper

    delele 14

end

四、增加非标准端口ALG

如果网络中存在非标准端口的与ALG相关的服务,则需要手动添加,比TCP 2021端口的FTP服务。

config system session-helper

    edit 21                         //不要与现网ID重复,也可以edit 0,系统自动编号

        set name ftp

        set port 2021           // FTP 协议使用的端口

        set protocol 6          // 6 TCP协议, 17UDP协议

    next


Ⅱ  VOIP

一、组网需求

         某公司使用基于SIP协议的语音系统。 企业内部使用SIP话机,SIP sever 位于防火墙外部的某个节点之上。

         SIP协议的特殊性,决定其需要被防火墙进行ALG处理,防止无法拨号或者单通等因为防火墙策略而带来的问题。

   

二、网络拓扑

三、配置要点

       1、基本上网配置

       2、配置VOIP策略

       3、移动策略(可选)

       4、配置SIP端口(可选)

四、操作步骤

       1、基本上网配置

        参照路由模式典型功能>>单线上网配置一节。

       2、配置VOIP策略

        (1) 定义地址对象

         页面: 防火墙--地址--地址

   (2) 定VOIP策略

         页面: 防火墙--策略--策略

  开启UTM功能,选择启用VOIP, 选择default 配置文件。

       3、移动策略(可选)

        将策略移动到合适的位置,确保其被执行:

   4、配置SIP端口(可选)

        大多数 SIP 配置将 TCP 或 UDP 端口 5060 用于 SIP 会话,而将端口 5061 用于 SIP SSL 会话。如果 SIP 网络将其他端口用于 SIP 会话,则可以使用以下命令将 SIP ALG 配置为使用其他 TCP、UDP 或 SSL 端口进行侦听。例如,将 TCP 端口更改为 5064,将 UDP 端口更改为 5065,而将 SSL 端口更改为 5066。

           RG-WALL#config system settings

           RG-WALL (settings) #set sip-tcp-port 5064

           RG-WALL (settings) #set sip-udp-port 5065

           RG-WALL (settings) #set sip-ssl-port 5066

           RG-WALL (settings) #end 

         也可以将 SIP ALG 配置为使用两个不同的 TCP 端口和两个不同的 UDP 端口来侦听 SIP 会话。例如,如果通过端口 5060 和 5064 接收 SIP TCP 流量而通过端口 5061 和 5065 接收 UDP 流量,则可以输入以下命令以通过所有这些端口接收 SIP 流量:

           RG-WALL#config system settings

           RG-WALL (settings) #set sip-tcp-port 5060 5064

           RG-WALL (settings) #set sip-udp-port 5061 5065

           RG-WALL (settings) #end 

 

五、验证效果

          使用SIP电话进行测试。

六、注意事项

      问: VOIP为什么要启用UTM功能?

       答:系统本身的session helper也支持voip  alg部分功能,但功能简单,适用的场景很简单,随着voip的场景越来越复杂,目前都使用voip profile。

             voip的ALg功能被做成了单独的UTM功能,除了非常完善的ALG功能之外,还可以对VOIP进行安全防护。


Ⅲ  VOIP目的映射

一、组网需求

         某公司使用基于SIP协议的语音系统。 企业内部使用SIP话机,SIP sever100.1.1.2 位于防火墙服务器区的某个节点之上。需要通过映射方式,映射到内部网络192.168.1.2上。

         SIP协议的特殊性,决定其需要被防火墙进行ALG处理,防止无法拨号或者单通等因为防火墙策略而带来的问题。

   

二、网络拓扑

三、配置要点

       1、基本网络配置

       2、配置VOIP策略

       3、移动策略(可选)

       4、配置SIP端口(可选)

四、操作步骤

       1、基本网络配置

        参照参照路由模式——单线上网配置一节。

       2、配置VOIP策略

        (1) 定义虚拟ip

         页面: 防火墙--虚拟ip--虚拟ip

  (2) 定义VOIP策略

         页面: 防火墙--策略--策略

        开启UTM功能,选择启用VOIP, 选择default 配置文件。

       3、配置SIP端口(可选)

        大多数 SIP 配置将 TCP 或 UDP 端口 5060 用于 SIP 会话,而将端口 5061 用于 SIP SSL 会话。如果 SIP 网络将其他端口用于 SIP 会话,则可以使用以下命令将 SIP ALG 配置为使用其

        他TCP、UDP 或 SSL 端口进行侦听。例如,将 TCP 端口更改为 5064,将 UDP 端口更改为 5065,而将 SSL 端口更改为 5066。

         RG-WALL#config system settings

         RG-WALL (settings) #set sip-tcp-port 5064

         RG-WALL (settings) #set sip-udp-port 5065

         RG-WALL (settings) #set sip-ssl-port 5066

         RG-WALL (settings) #end 

         也可以将 SIP ALG 配置为使用两个不同的 TCP 端口和两个不同的 UDP 端口来侦听 SIP 会话。例如,如果通过端口 5060 和 5064 接收 SIP TCP 流量而通过端口 5061 和 5065 接收

         UDP 流量,则可以输入以下命令以通过所有这些端口接收 SIP 流量:

          RG-WALL#config system settings

          RG-WALL (settings) #set sip-tcp-port 5060 5064

          RG-WALL (settings) #set sip-udp-port 5061 5065

          RG-WALL (settings) #end

          

   五、验证效果

          使用SIP电话进行测试。

转载请说明出处内容投诉
CSS教程_站长资源网 » 锐捷防火墙(WEB)——高级功能——应用层网关ALG

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买