ALG定议 

      ALG-是英语Application Layer Gateway，或application-level gateway，简称为ALG，中文意思：应用层网关。是一种NAT穿透技术。就应用层面来说，它允许修改匣道上的NAT traversal的过滤规则，完成特定网络传输协议上的地址和端口的转换。举例来说，像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323，这些都可以使用ALG来针对应用程序在地址及端口转换上的需求。在RFC 2663中定义了这个功能。

应用层网关 (ALG) 是一种安全软件或设备，代表网络上的应用服务器运行，保护服务器和应用免受可能恶意的流量的影响。是用于管理SIP（会话发起协议）和FTP（文件传输协议）等特殊应用协议的软件组件。ALG 充当 Internet 和应用服务器之间的中介，可以处理相应的协议，并充当端点，控制对应用服务器的访问权限。为此，拦截和分析相应的网络流量，分配资源并定义允许通过网关访问的动态规则。

应用层网关有哪些功能？

它使客户端应用程序能够使用动态 TCP/UDP 端口与服务器应用程序的已知端口进行通信，即使防火墙只允许有限数量的端口。如果没有这样的网关，这些要么被阻止，要么网络管理员将不得不在防火墙中打开大量端口。这反过来可能导致网络安全性的削弱。

它识别特定于应用程序的命令并提供对它们的扩展控制。

它可以在网络级别操纵地址信息，可以从应用程序的有效负载中识别这些信息。

它同步不同主机之间的多个流或会话。

可以在基础设施的应用层（在 OSI 模型中通常称为第 7 层）执行各种功能。这些功能可能包括地址和端口转换、资源分配、应用响应控制以及数据和控制流量的同步。通过充当应用服务器的代理并管理诸如SIP和 FTP 之类的应用协议，应用层网关可以控制应用会话的启动并通过在适当的时候阻止或终止连接来屏蔽应用服务器，以提供应用层安全性。

为什么应用层网关很重要？

应用程序对于业务运营和日常生活至关重要，但攻击越来越多地针对这些应用程序和 IT 基础设施的应用程序层。为确保业务连续性并保护敏感数据和个人身份信息 (PII)，安全措施必须专门针对应用层。应用层网关是保护应用程序及其包含的数据以确保安全应用程序交付的一种选择。

 

应用层网关如何工作？

通过充当应用程序服务器的代理并管理SIP和 FTP等应用程序协议，应用层网关通常使用深度数据包检查来检测和阻止攻击，然后再启动应用程序会话或允许流量传递到应用程序。应用层网关的能力通常超过应用防火墙或网络应用防火墙的能力。
SIP和ALG如何相互作用

要了解为什么SIP ALG对于现代SIP电话系统来说如此成问题，请查看尝试拨打SIP电话时涉及的五步过程。SIP有助于打开和终止数据连接，但对于SIP呼叫，中间有几个步骤。以下是最重要的五个：

邀请阶段：当您联系其他呼叫者以发起呼叫时，会发生这种情况。邀请从您这边开始。

邀请响应阶段：当连接发生时，响应将发送回初始拨号程序。

应答阶段：应答阶段是对入站呼叫的确认，而不是呼叫本身。该过程的这一部分也在接收方启动。

确认阶段：这是对呼叫连接的最终确认。这是从您的终端（发起方）发出的。

呼叫阶段：完成这四个步骤后，将发生实际的呼叫。这是双向连接。

虽然这似乎是一个漫长而复杂的过程，可以双向发送数据，但只需几秒钟即可完成。从连接的角度来看，这样做的问题是，具有五部分连接过程意味着当ALG在发送/到达数据时修改数据时，数据包丢失的可能性增加。

为什么ALG应该被禁用？

在现代SIP传出和传入VoIP呼叫期间，ALG修改数据包是有问题的，特别是考虑到该服务在大多数商业路由器上的实现有多差。ALG服务旨在提供更清晰的连接，但由于它不稳定地修改数据包，因此通常相反。

 

每次系统确认并确认连接尝试时，ALG都会修改正在发送的SIP数据包。这是因为从专用IP地址和端口到公共IP地址和端口的转换是通过脚本完成的。编写脚本是非常危险的-有时在翻译过程中，消息的重要部分会丢失。这将以不同的方式影响VoIP呼叫：

注册失败–由于在呼叫期间需要多次确认，如果有任何失败，呼叫将无法连接。这称为注册失败，这通常是SIP ALG在后台工作的直接结果。

单向音频-你能听到对方，但对方听不到你的声音，这些单向音频SIP呼叫通常是由于防火墙设置不当或ALG修改数据包以使呼叫一端的音频丢失的结果。

通话质量下降-当数据包在任何基于互联网的通话中丢失时，您将开始听到静电，声音传输失误或回声。修改调用会在传输或接收过程中降低数据质量。

丢失的连接-使用此路由器服务，您可以轻松地完全丢失呼叫。当数据丢失且无法恢复时，很容易断开连接。