防火墙H323协议处理流程及H323-ALG应用.docx

防火墙H323协议处理流程及H323-,它是一个有机的整体,根据功能可以将它分为4类协议,也就是说该协议从系统的总体框架()、视频编解码()、音频编解码()、系统控制()、数据流的复用()等各方面作了比较详细的规定。H323系统中的信息流是视频、音频和控制消息的组合。、,。、(注册、许可、状态)信道提供。,描述了如何操作网络包上的视频、音频、。:呼叫信令和RAS(注册、接入允许和状态)。。在IP网络的TCP端口1720需要创建一个可靠的TCP呼叫控制信道,,从而实现连接、维持和呼叫分离功能。,。,ControlChannelSegmentationandReassemblyLayer),它可以在易出错环境下保证应用的可靠性。,它支持两端设备通过协商确定一组通用的功能集。,由于NAT功能只能将传输层的IP及端口进行转换,,应用层中内部数据直接被转发至公网,后续协议信息处理时会出现问题;而H323ALG则可以实现应用层数据转换,时,将其应用层内部信息转换成公网信息,实现完全隐藏内部终端达到通信正常的目的。另外,应用防火墙一般只开放特定端口的数据进入内部网络,,控制连接使用端口1720,数据交换使用端口为临时协商,无法事先预知,若无ALG功能,协商出数据交换通道所用端口后,外部网络终端尝试对内部终端数据交换的端口进行连接时,防火墙会对其进行阻断,从而数据传输通道无法建立;,会在对应用层转换的IP地址及端口进行转换的同时,将其信息进行记录,使其在外部网络终端尝试对内部终端数据交换的端口进行连接时,防火墙进行协议识别,对后续相关协议报文执行放通策略,从而成功建立传输通道。,,表示主叫方希望建立通话(FW开启了H323ALG功能)1)内网主叫终端抓包报文2)外网被叫终端抓包报文由上面2个报文可以明显看出ALG对协议应用层的数据进行了处理。,表示被叫终端正在处理。,表示被叫用户已被振铃。1)内网主叫终端抓包报文2),表示被叫用户已摘机并告知被叫终端已开放特定端口来进行下一阶段的协议协商过程。1)内网主叫终端抓包报文2),,、主从确定、打开逻辑通道(通道打开之后传输数据)、关闭逻辑通道、。1)内网主叫终端抓包报文(TCP三次握手阶段)2)内网主叫终端抓包报文(打开逻辑通道阶段(能力交换、主从确定阶段省略))3)外网被叫终端抓包报文由以上报文可以看出后续数据传输被叫方将使用1503端口来建立连接。,进行数据传输(主叫方将使用多个端口与被叫方的1503端口进行连接来进行视频、音频数据的传输)(通讯结束)后,plete消息来释放连接内网主叫方抓包报文外网被叫终端抓包报文完成上述报文交互之后,断开TCP连接,至此已完成整个H323呼叫流程。注:防火墙会话如下(与上述抓包无关联,仅作参考),防火墙做SNAT;由于h323通话setup消息中被叫方只关注应用层中destCallSignalAdress字段信息(检查目的IP是否为自己,确认其是想要和自己通信)与传输层的源IP(主叫方IP),符合以上条件后才会进行后续协议协商;当发