網(wǎng)絡(luò )原來(lái)如此之防火墻應用網(wǎng)關(guān)技術(shù) 快訊

?當前我行科技發(fā)展迅猛，各種新技術(shù)、新架構不斷出現，防火墻的安全隔離作為數據中心內部安全管控的必要手段，一方面要保障數據中心安全穩定運行，另一方面也要以快捷、穩定的方式支持應用系統發(fā)展，進(jìn)而賦能我行業(yè)務(wù)高速發(fā)展。?

1、ALG產(chǎn)生背景

在應用層協(xié)議中，部分協(xié)議有多個(gè)通道用于信息交互，例如FTP、SIP、SQLNET等，類(lèi)似通信網(wǎng)中的“七號信令”。這種多通道的協(xié)議首先需要建立控制通道，然后在控制通道中協(xié)商數據通道的地址和端口，根據協(xié)商結果臨時(shí)創(chuàng )建一個(gè)或多個(gè)數據通道，使用的端口通常不能預先確定，同時(shí)數據通道連接建立的方向也不能預先確定，防火墻的安全策略（Policy）和網(wǎng)絡(luò )地址轉換規則（NAT)無(wú)法準確描述這些數據通道。因此這種多通道協(xié)議在經(jīng)過(guò)防火墻時(shí)往往會(huì )出現控制通道可以建立連接，數據通道不能完整建立連接，或沒(méi)有反向策略，會(huì )導致數據通道通信失敗。對于多通道的應用層協(xié)議，由于防火墻無(wú)法檢測上層協(xié)商的數據通道端口，而且也不能提前于應用預先知道數據通道的端口，更無(wú)法配置適當的安全策略。

(相關(guān)資料圖)

另外在NAT的應用場(chǎng)景中，防火墻的NAT功能僅對IP網(wǎng)絡(luò )層報文的報文頭進(jìn)行IP地址的識別和轉換，對于應用層協(xié)商過(guò)程中報文載荷攜帶的地址信息無(wú)法進(jìn)行識別和轉換，因此在NAT的應用場(chǎng)景中，多通道的協(xié)議的數據通道也不能建立。

2、什么是ALG

ALG（Application Level Gateway）全稱(chēng)應用網(wǎng)關(guān)，ALG技術(shù)可以識別典型多通道應用協(xié)議IP報文數據載荷中攜帶的地址和端口信息，結合嚴格安全策略控制特性可支持動(dòng)態(tài)通道的檢測功能，以及對應用層的狀態(tài)檢測功能：多通道協(xié)議的報文交互過(guò)程中協(xié)商動(dòng)態(tài)通道的地址和端口，在安全訪(fǎng)問(wèn)策略的控制下，可以通過(guò)開(kāi)啟pinhole來(lái)完成數據通道的連接。

3、ALG實(shí)現原理介紹

防火墻通過(guò)Policy使網(wǎng)絡(luò )安全和可控，而防火墻的Policy和NAT規則只能對傳輸層的控制做靜態(tài)的描述，卻不能對應用層做控制描述。傳輸層只是應用層信息傳輸的網(wǎng)絡(luò )通道（TCP/IP連接），許多應用使用知名端口做控制連接，而數據傳輸使用動(dòng)態(tài)、臨時(shí)協(xié)商建立起來(lái)的動(dòng)態(tài)連接，不是預先確定的，防火墻無(wú)法準確描述這些動(dòng)態(tài)連接，能否穿越防火墻就不確定。

（1）ALG通過(guò)以下手段解決應用層動(dòng)態(tài)連接穿越防火墻問(wèn)題

1)提供動(dòng)態(tài)連接訪(fǎng)問(wèn)外網(wǎng)所需的外網(wǎng)地址和端口以及地址端口轉換關(guān)系；

2) pinhole對動(dòng)態(tài)建立的session進(jìn)行處理，確保連接建立成功。

（2）ALG模塊定義了一個(gè)與應用層動(dòng)態(tài)連接相對應的pinhole對象來(lái)為動(dòng)態(tài)連接在防火墻中建session，用來(lái)實(shí)現防火墻穿越。pinhole描述了動(dòng)態(tài)連接的session信息、外網(wǎng)地址和端口資源，但pinhole不是session。

（3）防火墻工作處理流程

防火墻需要應用網(wǎng)關(guān)去分析應用層的內容，如果應用層要協(xié)商和發(fā)起數據連接，那么應用層將要建立的連接用expect flow描述，將expect flow用作參數調用相應的ALG APIs生成和安裝pinhole。pinhole生成后，有數據連接所需的外網(wǎng)地址和端口，必要時(shí)應用代理修改應用的內容，轉換協(xié)商的地址和端口。

數據連接發(fā)起報文到達防火墻的時(shí)候，會(huì )先匹配pinhole，然后從pinhole建session。如果pinhole沒(méi)有匹配上，則匹配Policy建session。

4、FTP協(xié)議及FTP ALG應用網(wǎng)關(guān)詳解

4.1FTP協(xié)議交互過(guò)程

（1）主動(dòng)模式（Port）

在主動(dòng)模式下，FTP客戶(hù)端從任何非特殊端口(例如源端口N=1024)連接到FTP服務(wù)器-port 21的命令端口。然后客戶(hù)端在N+1(N+1=1025)端口監控，通過(guò)N+1(N+1=1025)端口向FTP服務(wù)器發(fā)送命令(PORT=1025)。服務(wù)器使用源端口20連接到FTP客戶(hù)端在本地指定的數據端口(1025)。交互過(guò)程如下：

控制連接：客戶(hù)端>1024端口—>服務(wù)器21端口

數據連接：客戶(hù)端>1025端口<—服務(wù)器20端口

圖1

（2）被動(dòng)模式(PASV)

在被動(dòng)模式下，控制通道和數據通道都由客戶(hù)端發(fā)起。當打開(kāi)一個(gè)FTP連接時(shí)，FTP客戶(hù)端打開(kāi)兩個(gè)任意的非特權本地端口(N=1024和N+1=1025)。第一個(gè)端口連接到服務(wù)器的端口21，但與主動(dòng)模式下的文件傳輸協(xié)議不同，客戶(hù)端不會(huì )提交port命令并允許服務(wù)器來(lái)連接其數據端口，而是提交PASV命令。因此，服務(wù)器將開(kāi)放一個(gè)任意的非特定端口(P=1034)，并向客戶(hù)端發(fā)送端口PASV命令。然后客戶(hù)端啟動(dòng)從本地端口N +1到服務(wù)器端口P的連接，以傳輸數據。交互過(guò)程如下：

控制連接：客戶(hù)端>1024端口—>服務(wù)器21端口

數據連接：客戶(hù)端>1025端口—>服務(wù)器1034端口

圖2

4.2 防火墻ALG FTP詳解

（1）FTP主動(dòng)模式

FTP 客戶(hù)端主動(dòng)模式下穿越防火墻的過(guò)程可以分為4步，詳細過(guò)程如下：

圖3

?控制通道session新建

防火墻收到從客戶(hù)端到服務(wù)器的首包會(huì )新建session。因為此時(shí)系統中沒(méi)有pinhole，所以會(huì )跳過(guò)pinhole查找過(guò)程。然后查找Policy，在防火墻配置了Policy允許客戶(hù)端訪(fǎng)問(wèn)FTP服務(wù)，所以能匹配到Policy，新建控制session。

?控制連接報文解析

FTP主動(dòng)模式下載文件時(shí)，會(huì )先發(fā)送PORT命令，其格式為：PORT h1,h2,h3,h4,p1,p2\r\n。防火墻解析到PORT命令時(shí)，新建pinhole。如果當前session有SNAT，修改PORT命令中的內容為SNAT后的IP和端口。將報文內容PORT 192,168,1,2,67,131\r\n修改為PORT 192,168,2,1,4,2\r\n，新建圖中pinhole。

?數據session新建

FTP主動(dòng)模式的數據連接由服務(wù)器主動(dòng)發(fā)起。防火墻收到數據連接首包時(shí)，同樣進(jìn)入新建session流程。此時(shí)系統中有pinhole，會(huì )先查找pinhole。匹配到pinhole，新建數據session。根據FTP協(xié)議的特點(diǎn)，每次數據傳輸都會(huì )重新發(fā)送PORT命令，每次數據傳輸使用的端口號也不同，所以FTP協(xié)議的pinhole在查找到之后就會(huì )刪除。

?數據連接報文處理

FTP數據連接報文ALG不需要處理。數據傳輸過(guò)程中，數據session的計時(shí)器會(huì )不斷刷新。直到數據傳輸結束，四次揮手斷開(kāi)連接，數據session拆除。

（2）FTP被動(dòng)模式

FTP 客戶(hù)端被動(dòng)模式下穿越防火墻的過(guò)程可以分為4步，詳細過(guò)程如下：

圖4

?控制session新建

防火墻收到從客戶(hù)端到服務(wù)器的首包，新建session。因為此時(shí)系統中沒(méi)有pinhole，所以會(huì )跳過(guò)pinhole查找過(guò)程，繼而查找Policy。在防火墻配置了Policy允許客戶(hù)端訪(fǎng)問(wèn)FTP服務(wù)，所以能匹配到Policy，新建控制session。

?控制連接報文解析

FTP客戶(hù)端使用被動(dòng)模式下載文件時(shí)，首先發(fā)送PASV命令，服務(wù)器收到PASV命令報文后，選用臨時(shí)端口作為數據連接端口，并向客戶(hù)端返回227響應碼，報文格式為：227 Entering Passive Mode. h1,h2,h3,h4,p1,p2\r\n。防火墻解析到227響應報文后，如果當前session有DNAT，修改報文中的IP和端口，并新建pinhole。

?數據session新建

FTP被動(dòng)模式的數據連接由客戶(hù)端發(fā)起。防火墻收到數據連接首包時(shí)，同樣進(jìn)入新建session流程。此時(shí)系統中有pinhole，會(huì )先查找pinhole。匹配到pinhole，新建數據session。

?數據連接報文處理

FTP數據連接報文，ALG無(wú)需處理。數據傳輸過(guò)程中，數據session的計時(shí)器會(huì )不斷刷新。直到數據傳輸結束，四次揮手斷開(kāi)連接，數據session拆除。

5、SIP協(xié)議及SIP ALG應用網(wǎng)關(guān)詳解

5.1SIP協(xié)議原理

SIP是一種應用層控制協(xié)議，用于建立、修改和終止雙方或多方多媒體會(huì )話(huà)，應用在VoIP、多媒體分發(fā)、多媒體會(huì )議領(lǐng)域。SIP協(xié)議棧如圖所示。SIP協(xié)議通信包括控制信令（signaling）和媒體數據兩個(gè)信道：控制信令信道用于客戶(hù)端和服務(wù)器之間的請求和響應消息，傳輸層基于TCP或者UDP，服務(wù)器使用端口5060；媒體數據信道用于傳輸音視頻數據，傳輸層基于UDP，使用動(dòng)態(tài)端口。

表1

SIP協(xié)議在網(wǎng)絡(luò )中的實(shí)體包括兩種：SIP用戶(hù)代理（User Agent）和SIP服務(wù)器。SIP用戶(hù)代理是終端用戶(hù)設備，如 SIP 電話(huà)機、SIP客戶(hù)端軟件等，用于發(fā)送SIP請求或者接收到請求后進(jìn)行響應。SIP服務(wù)器主要進(jìn)行請求轉發(fā)、接收注冊請求和提供定位服務(wù)。SIP VoIP典型部署如圖所示：企業(yè)內網(wǎng)部署有SIP服務(wù)器和SIP終端Phone B，Phone B和遠程SIP終端Phone A之間可以通過(guò)SIP協(xié)議進(jìn)行網(wǎng)絡(luò )電話(huà)。

圖5

SIP消息分為請求消息和響應消息兩種類(lèi)型。下面是一個(gè)呼叫請求消息的實(shí)例：

圖6

可以看到，SIP消息包括三部分：起始行、消息頭和可選的消息體。起始行包括消息類(lèi)型、請求URI和SIP版本號。常見(jiàn)的消息類(lèi)型包括INVITE、ACK、OPTIONS、BYE、 CANCEL、REGISTER，其作用見(jiàn)下表所示：

表2

請求URI表示請求的用戶(hù)或者服務(wù)的地址信息。SIP版本號，即所使用的SIP協(xié)議的版本號。

SIP消息頭部包含多個(gè)字段，其含義如下表所示：

表3

一個(gè)響應消息的實(shí)例如下所示：

圖7

響應消息與請求消息的不同之處是初始行是狀態(tài)碼。狀態(tài)碼由3位整數組成，第一位用于表示響應類(lèi)型，后兩位用于對響應進(jìn)一步解釋。各響應碼類(lèi)型的含義如下表所示：

表4

5.2防火墻ALGSIP詳解

上述對SIP協(xié)議的工作過(guò)程進(jìn)行了簡(jiǎn)單的介紹，下面以典型部署為例介紹SIP協(xié)議如何穿越防火墻。假設SIP服務(wù)器所在網(wǎng)段為192.168.2.0/24，PhoneA所在的網(wǎng)段為192.168.100.0/24。SIP服務(wù)器的IP地址為192.168.2.4，在防火墻配置了DNAT，對外的地址是192.168.100.4。Phone B的IP地址為192.168.2.3，對外的IP地址為192.168.100.3。Phone A的IP地址為192.168.100.2。

條件：防火墻配置策略允許SIP服務(wù)流量通過(guò)

下面分別介紹SIP注冊以及外網(wǎng)SIP終端Phone A呼叫內網(wǎng)終端Phone B的流程和防火墻SIP ALG的實(shí)現。

（1）SIP注冊流程

SIP協(xié)議提供地址發(fā)現的能力。當一個(gè)用戶(hù)代理想要建立會(huì )話(huà)時(shí)，將會(huì )話(huà)請求發(fā)送到代理服務(wù)器。服務(wù)器查詢(xún)注冊信息，得到另一方的地址信息，并將請求轉發(fā)到對應的地址。

注冊請求消息用于用戶(hù)代理將當前地址信息發(fā)送到服務(wù)器，Phone A注冊報文格式如下所示，其中Contact字段攜帶了Phone A當前的地址。

圖8

注冊報文的處理流程如下圖所示。防火墻在收到這個(gè)注冊報文時(shí)，也會(huì )生成一個(gè)綁定關(guān)系，即記錄Phone A的地址信息192.168.100.2:5060生成一個(gè)pinhole，用于其他實(shí)體向Phone A發(fā)送的會(huì )話(huà)請求消息能通過(guò)防火墻。根據NAT配置修改頭部的各個(gè)字段，例如在本例中，SIP server在防火墻配置有DNAT，將初始行的請求URI地址由192.168.100.4修改為192.168.2.4。

圖9

（2）SIP呼叫流程

Phone A呼叫Phone B的報文交互流程如下圖所示：

圖10

用戶(hù)在Phone A撥號222呼叫Phone B。此時(shí)Phone A發(fā)送INVITE請求消息到SIP server。防火墻收到INVITTE報文，解析其中的c和m字段，本例中c= IN IP4 192.168.100.2，m=audio 5000 RTP。新建pinhole，目的地址為192.168.100.2:5000。每一個(gè)RTP通道有一個(gè)對應的RTCP通道，通信端口是RTP端口號加1，所以會(huì )再為RTCP通道建一個(gè)pinhole，目的地址為192.168.100.2:5001。然后根據當前session的NAT配置修改頭部字段中的IP地址，本例中SIP server在防火墻配置有DNAT，將初始行的請求URI地址由192.168.100.4修改為192.168.2.4。

SIP server接收到INVITE請求消息，會(huì )先返回一個(gè)100 tring響應消息，表示消息正在處理。之后根據電話(huà)號碼222查詢(xún)注冊信息數據庫，找到Phone B當前地址，將INVITE請求消息轉發(fā)到Phone B。

Phone B接收到INVITE請求消息，開(kāi)始響鈴，并返回180 ring響應消息到SIP服務(wù)器。SIP服務(wù)器轉發(fā)180 ring響應消息到Phone A，提示用戶(hù)正在響鈴。當Phone B電話(huà)被接起，發(fā)送200 ok響應消息。200 ok響應消息同樣由SIP服務(wù)器轉發(fā)到Phone A。防火墻解析到200 oK響應消息時(shí)，同樣解析其中的消息體，本例中200IOK響應消息的c= IN IP4 192.168.2.3，m= audio 6000 RTP/AVP，因為PhoneB對外地址是192.168.100.3，修改c字段為c= IN IP4 192.168.100.3，并為RTP信道新建pinhole：0.0.0.0:0 -> 192.168.100.3:6000。同理，將RTP端口號加1作為RTCP通道端口號，并新建pinhole：0.0.0.0:0 -> 192.168.100.3:6001。將頭部字段Record-Route從192.168.2.4修改為192.168.100.4。

Phone A接收到200 OK響應消息后，向Phone B發(fā)送ACK確認消息。因為SIP服務(wù)器向INVITE請求中插入了Record-Route字段，表示之后的請求消息也經(jīng)過(guò)SIP服務(wù)器，所以Phone A發(fā)送的ACK消息經(jīng)SIP服務(wù)器轉發(fā)到Phone B。ACK請求消息如下所示：

圖11

之后Phone A和Phone B之間媒體通信，防火墻會(huì )創(chuàng )建RTP和RTCP session。

通話(huà)結束，Phone A掛斷電話(huà)，發(fā)送BYE請求消息，同樣由SIP服務(wù)器轉發(fā)到Phone B。Phone B收到BYE請求消息，發(fā)送200 OK響應。至此通話(huà)結束。

（3）增刪NAT及Policy的影響

NAT配置改動(dòng)，會(huì )觸發(fā)SIP 信令session重新匹配N(xiāo)AT規則。如果不能匹配新的NAT規則，session會(huì )被拆除。對數據session無(wú)影響。

Policy配置改動(dòng)，會(huì )觸發(fā)SIP 信令session重新匹配Policy。如果不能匹配新的Policy，session會(huì )被拆除。對數據session無(wú)影響。

6、ALG支持的其他應用

除了FTP和SIP以外，一些VoIP 應用在進(jìn)行NAT 穿越時(shí)，由于IP 地址和端口號的改變可能導致VoIP 無(wú)法正常工作，ALG 技術(shù)在此時(shí)將保證NAT 地址轉換后，VoIP 應用能夠正常通信。因此，應用層網(wǎng)關(guān)提供以下功能：

?在嚴格的安全策略規則下，利用應用層網(wǎng)關(guān) ALG 技術(shù)，保證多通道應用程序正常的通信，如FTP、TFTP、PPTP、RTSP、RSH、MSRPC、SUNRPC 和SQLNET。

?保證 VoIP 應用，如SIP 和H.323 等，在NAT 模式下的正常工作，并能夠根據安全策略要求，進(jìn)行監控和過(guò)濾。

7、總結

當前我行科技發(fā)展迅猛，各種新技術(shù)、新架構不斷出現，防火墻的安全隔離作為數據中心內部安全管控的必要手段，一方面要保障數據中心安全穩定運行，另一方面也要以快捷、穩定的方式支持應用系統發(fā)展，進(jìn)而賦能我行業(yè)務(wù)高速發(fā)展。

免責聲明：本文不構成任何商業(yè)建議，投資有風(fēng)險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考

關(guān)鍵詞：