Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

关于 ALG 页面

您在此处: 安全服务 > ALG

使用此页面配置应用层网关 (ALG)。

字段说明

表 1 介绍了 ALG 页面上的字段。

配置完成后,单击 OK 保存更改,或单击 重置 以恢复更改。

表 1:ALG 页面上的字段

领域

描述

主要

启用 PPTP

选中该复选框以启用 ALG 的点对点隧道协议 (PPTP)。

PPTP 是一种第 2 层协议,用于跨 TCP/IP 网络建立 PPP 数据隧道。PPTP 客户端可在 Windows 系统上免费使用,并广泛部署用于构建 VPN。

启用 RSH

选中该复选框,为 ALG 启用 RSH。

RSH ALG 处理发往端口 514 的 TCP 数据包,并处理 RSH 端口命令。RSH ALG 在端口命令中对端口执行 NAT,并根据需要打开门。

启用 RTSP

选中该复选框以启用 ALG 的实时流协议 (RTSP)。

启用 SQL

选中该复选框可为 ALG 启用结构化查询语言 (SQL)。

SQLNET ALG 从服务器端处理 SQL TNS 响应帧。它会解析数据包并查找 (HOST=ipaddress)(端口=端口)模式,并在客户端为 TCP 数据通道执行 NAT 和门打开。

启用 TALK

选中该复选框以启用 ALG 的 TALK 协议。

TALK 协议使用 UDP 端口 517 和端口 518 进行控制通道连接。谈话程序由服务器和客户端组成。服务器处理客户端通知并帮助建立对话会话。有两种类型的对话服务器:ntalk 和 talkd。TALK ALG 同时处理 ntalk 和 Talkd 格式的数据包。它还会在必要时执行 NAT 和门打开。

启用 TFTP

选中该复选框可启用 ALG 的简单文件传输协议 (TFTP)。

TFTP ALG 处理发起请求的 TFTP 数据包,并打开一个门,以允许从相反方向将数据包返回到发送请求的端口。

Dns

启用 DNS

选中该复选框可启用 ALG 的域名系统 (DNS)。

如果 DNS 标志指示数据包是回复消息,则 DNS ALG 会监控 DNS 查询和回复数据包,并关闭会话。

篡改

选择以下其中一个选项:

  • 健全性检查 — 仅执行 DNS ALG 健全性检查。

  • 无 — 禁用所有 DNS ALG 诊断。

最大消息长度

选择一个数字以指定最大 DNS 消息长度。

范围:512 到 8192 字节。

启用超大消息丢弃。

选中该复选框以启用超大消息丢弃。

Ftp

启用 FTP

选中该复选框以启用 ALG 的文件传输协议 (FTP)。

FTP ALG 监控端口、PASV 和 227 命令。它会对消息中的 IP/端口执行网络地址转换 (NAT),必要时在设备上执行门打开。FTP ALG 支持 FTP 放置和 FTP 获取命令阻止。在策略中设置FTP_NO_PUT或FTP_NO_GET时,FTP ALG 会发送回阻止命令,并在检测到 FTP STOR 或 FTP RETR 命令时关闭关联的打开门。

启用允许不匹配的 IP 地址

选中该复选框以允许 IP 地址出现任何不匹配的情况。

启用 FTP 扩展

选中该复选框以启用安全的 FTP 和 FTP SSL 协议。

启用线路中断扩展

选中该复选框以启用分行扩展。

此选项将使 FTP ALG 除了能识别标准 CR+LF(回车后是线路馈送)之外,还可将 LF 识别为换行符。

H323

启用 H323

选中该复选框以启用 H.323 ALG。

应用程序筛选

指定 H.323 协议 ALG 的安全屏幕。

输入以下详细信息:

  • 消息泛洪网关守门人阈值 — 输入值。值范围为每秒 1 到 50000 条消息。

    限制每秒处理远程访问服务器 (RAS) 请求的速率。超过阈值的消息将被删除。默认情况下,此功能处于禁用状态。

  • 接收未知消息的操作:

    • 启用允许 NAT 应用 — 选中该复选框以指定设备如何处理未识别的 H.323(不受支持的)消息。

      默认设置是丢弃未知消息。允许未知消息会损害安全性,不建议这样做。但是,在安全测试或生产环境中,此语句可用于解决不同供应商设备的互操作性问题。通过允许未知的 H.323 消息,您可以使您的网络正常运行,随后分析您的 VoIP 流量,以确定某些消息被丢弃的原因。

      此语句仅适用于已接收的标识为受支持的 VoIP 数据包的数据包。如果无法识别数据包,则始终将其丢弃。如果数据包被识别为受支持的协议,则消息将转发而不进行处理。

    • 启用允许路由 — 选中复选框以指定在会话处于路由模式时允许传递未知消息。

      透明模式下的会话被视为处于路由模式。

DSCP 代码重写

代码点 — 从列表中选择一个 6 位字符串。

为通过 IP 应用层网关 (VoIP ALG) 语音的流量指定重写规则。代码点的值采用二进制格式。

VoIP 重写规则可通过差异化服务代码点 (DSCP) 机制修改传出数据包中的相应服务等级 (CoS) 位,从而提高拥塞网络中的 VoIP 质量。

端点

输入以下详细信息:

  • 端点超时 — 为 NAT 表中的条目输入超时值(以秒为单位)。

    范围:10 至 50,000 秒

    控制 NAT 表中条目的持续时间。

  • 启用允许来自任何源端口的媒体 — 选择此选项可允许来自任何端口号的媒体流量。

IKE-ESP

启用 IKE-ESP

选中该复选框以启用 IKE-ESP。

ESP 门超时(秒)

选择 2 到 30 秒的门超时。

ESP 会话超时(秒)

选择 60 到 2400 秒的 ESP 超时会话。

ALG 状态超时(Sec)

选择 180 到 86400 秒的 ALG 状态时间。

MGCP

启用 MGCP

选中该复选框以启用媒体网关控制协议 (MGCP)。

非活动介质超时

选择一个值以指定在未检测到任何活动时,防火墙中的临时开放(针孔)对介质保持开放的最大时间量。范围从 10 秒到 2,550 秒。

指定呼叫保持活动状态且组内没有任何介质(RTP 或 RTCP) 流量的最大时间(以秒为单位)。每次呼叫中发生 RTP 或 RTCP 数据包时,此超时都会重置。当不活动时间超过此设置时,为介质打开的防火墙 MGCP ALG 中的临时孔(针孔)将关闭。默认设置为 120 秒;范围从 10 秒到 2550 秒不等。请注意,超时时,当介质资源(会话和针孔)被移除时,呼叫不会终止。

最大呼叫持续时间

选择 3 到 720 分钟的值。

设置呼叫的最大长度。当呼叫超过此参数设置时,MGCP ALG 会中断呼叫并释放媒体会话。默认设置为 720 分钟;3 到 720 分钟不等

事务超时

输入一个 3 到 50 秒的值,以指定

为 MGCP 事务指定超时值。事务是信令消息,例如,从网关到呼叫代理的 NTFY 或从呼叫代理到网关的 200 OK。设备会跟踪这些事务,并在它们超时时进行清除。

应用程序筛选

输入以下详细信息:

  • 消息泛洪阈值 — 为每个媒体网关输入 2 到 50,000 秒的值。

    限制每秒处理发往媒体网关的消息请求的速率。媒体网关控制协议 (MGCP) 会丢弃超过阈值的消息。默认情况下,此功能处于禁用状态。

  • 连接泛洪阈值 — 输入一个从 2 到 10,000 的值。

    限制每秒允许的媒体网关 (MG) 的新连接请求数。超过 ALG 的消息。

  • 接收未知消息的操作 — 输入以下任一项:

    • 启用允许 NAT 应用 — 选中该复选框以指定瞻博网络设备如何处理未识别的 MGCP 消息。

      默认设置是丢弃未知(不受支持的)消息。允许未知消息会损害安全性,不建议这样做。但是,在安全测试或生产环境中,此语句可用于解决不同供应商设备的互操作性问题。通过允许未知的 MGCP(不受支持的)消息,可以让网络正常运行,随后分析您的 VoIP 流量,以确定某些消息被丢弃的原因。

    • 启用允许路由 — 选中复选框。

      指定在会话处于路由模式时允许传递未知消息。(透明模式下的会话被视为路由模式。)

DSCP 代码重写

指定一个代码点别名或位集,以应用于转发类以用于重写规则。

代码点 — 输入六位 DSCP 代码点值。

MSRPC

启用 MSRPC

选中复选框以启用 MSRPC。

为一个主机上运行的程序提供一种方法,以调用另一个主机上运行的程序中的程序。由于 RPC 服务数量众多,并且需要广播,因此 RPC 服务的传输地址会基于服务程序的通用唯一 ITifier (UUID) 进行动态协商。特定 UUID 映射到一个传输地址。

最大组使用情况 (%)

选择从 10% 到 100% 的组使用情况百分比。

映射条目超时(最小)

选择 5 到 4320 分钟的映射条目超时会话。

SCCP

启用 SCCP

选中该复选框以启用“瘦客户端控制协议”。

非活动介质超时

选择 10 秒到 600 秒的值。

表示呼叫可以保持活动状态且组内没有任何介质(RTP 或 RTCP)流量的最大时间长度(以秒为单位)。每次呼叫中发生 RTP 或 RTCP 数据包时,此超时都会重置。当不活动时间超过此设置时,为介质打开的大门将关闭。

应用程序筛选

呼叫泛洪阈值 — 选择 2 到 1,000 的值。

通过限制 SCCP ALG 客户端尝试处理的呼叫数,保护其免遭泛洪攻击。

接收未知消息的操作

  • 启用允许应用 NAT — 选中该复选框。

    指定设备如何处理未识别的 SCCP 消息。默认设置是丢弃未知(不受支持的)消息。允许未知消息会损害安全性,不建议这样做。但是,在安全测试或生产环境中,此语句可用于解决不同供应商设备的互操作性问题。通过允许未知的 SCCP(不受支持的)消息,您可以使您的网络正常运行,随后分析您的 VoIP 流量,以确定某些消息被丢弃的原因。

    此语句仅适用于已接收的标识为受支持的 VoIP 数据包的数据包。如果无法识别数据包,则始终将其丢弃。如果数据包被识别为受支持的协议,则消息将转发而不进行处理。

  • 启用允许路由 — 选中复选框。

    指定在会话处于路由模式时允许传递未知消息。(透明模式下的会话被视为处于路由模式。)

DSCP 代码重写

代码点 — 输入六位 DSCP 代码点值。

Sip

启用 SIP

选中该复选框以启用会话初始化协议 (SIP)。

启用保留保留资源

选中该复选框以启用设备是否为 SIP 释放媒体资源,即使媒体流被搁置也是如此。

默认情况下,媒体流资源会在媒体流保留在后发布。

最大呼叫持续时间

选择 3 到 720 分钟的值。

设置呼叫的绝对最大长度。当呼叫超过此参数设置时,SIP ALG 会中断呼叫并释放媒体会话。默认设置为 720 分钟,范围为 3 到 720 分钟。

C 超时

选择 3 到 10 分钟的值。

指定代理的邀请事务超时(以分钟)默认为 3。由于 SIP ALG 位于中间,而不是使用 INVITE 事务计时器值 B(即 (64 * T1) = 32 秒),因此 SIP ALG 从代理获取其计时器值。

T4 间隔

选择 5 到 10 秒的值。

指定消息保留在网络中的最大时间。默认为 5 秒;范围为 5 到 10 秒。由于许多 SIP 计时器会随 T4 间隔进行扩展(如 RFC 3261 所述),因此当您更改 T4 间隔计时器的值时,这些 SIP 计时器也会进行调整。

非活动介质超时

选择 10 到 2,550 秒的值。

指定呼叫保持活动状态且组内没有任何介质(RTP 或 RTCP) 流量的最大时间(以秒为单位)。每次呼叫中发生 RTP 或 RTCP 数据包时,此超时都会重置。当不活动时间超过此设置时,为媒体打开的防火墙 SIP ALG 中的临时开放(针孔)将关闭。默认设置为 120 秒;范围为 10 到 2550 秒。请注意,超时时,当介质资源(会话和针孔)被移除时,呼叫不会终止。

T1 间隔

选择 500 到 5000 毫秒的值。

指定端点之间事务的往返时间估算(以秒为单位)。默认设置为 500 毫秒。由于许多 SIP 计时器会随 T1 间隔而扩展(如 RFC 3261 所述),因此当您更改 T1 间隔计时器的值时,这些 SIP 计时器也会进行调整。

应用程序筛选

接收未知消息时采取的措施:

  • 启用允许应用 NAT — 选中该复选框以启用由设备处理未识别的 SIP 消息。

    此语句仅适用于已接收的标识为受支持的 VoIP 数据包的数据包。如果无法识别数据包,则始终将其丢弃。如果数据包被识别为受支持的协议,则消息将转发而不进行处理。

  • 启用允许路由 — 选中要启用的复选框,在会话处于路由模式时允许传递未知消息。(透明模式下的会话被视为路由模式。)

保护选项

  • SIP 邀请攻击表条目超时 — 输入 1 到 3,600 秒的值。

    指定为每次邀请创建攻击表条目的时间(以秒为单位),这一时间会列在应用程序屏幕中。

  • 启用攻击防御 — 选择其中一个选项:所有服务器、选定服务器或无。

    保护服务器免受邀请攻击。配置 SIP 应用程序屏幕,以保护部分或所有目标 IP 地址的服务器免受邀请攻击。

    选择“选定服务器”时,输入目标 IP 地址,然后单击 +。您可以选择目标 IP 地址,然后单击 X 将其删除。

DSCP 代码重写

代码点 — 输入六位 DSCP 代码点值。

SUNRPC

启用 SUNRPC

选中复选框以启用 SUNRPC。

由于 RPC 服务数量众多,并且需要广播,因此 RPC 服务的传输地址会基于服务的程序编号和版本号进行动态协商。定义了几种绑定协议,用于将 RPC 程序编号和版本号映射到传输地址。

最大组使用情况 (%)

选择从 10% 到 100% 的最大组使用情况百分比。

映射条目超时

选择 5 到 4320 分钟的映射条目超时会话。