安全策略”,进入策略页面。一些应用程序采用多通道数据传送,如常见的FTP,其控制通道和数据通道是分开的。在严格安全策略控制条件下的安全网关,就有可能对每种数据通道进行严格限制,例如只允许从内网到外网的FTP数据在知名的TCP 21号端口上进行传输,一旦FTP主动模式下,在公网上的FTP服务器试图主动连接内网主机的随机端口,安全网关就会进行拦截,此时FTP无法正常工作。这就要求安全网关足够智能以正确处理严格安全策略下合法应用的随机性。在FTP的实例中,安全网关通过分析FTP控制通道上传送的信息,得知服务器与客户端达成一致,服务器将主动连接客户端的某端口,安全网关就能临时的打开一条通道,使FTP正常工作。
系统采用最严格的NAT模式。一些VoIP应用在进行NAT穿越时,由于IP地址和端口号的改变可能导致VoIP无法正常工作,ALG技术在此时将保证NAT地址转换后,VoIP应用能够正常通信。因此,应用层网关提供以下功能:
系统可根据每种应用分别开启或关闭ALG控制功能。安全网关可配置以下应用的ALG控制功能: FTP、HTTP、MSRPC、RSH、RTSP、SQLNetV2、SUNRPC、TFTP、SIP、Q.931、RAS和H323。用户可以开启或者关闭应用的ALG功能,也可以指定H323协议的超时时间。
开启应用的ALG功能,请按照以下步骤进行操作:
安全策略”,进入策略页面。