防火墙H协议处理流程及HALG应用

1、精选H.323 协议简介H.323 协议簇是 ITU 的一个标准协议栈， 它是一个有机的整体， 根据功能可以将它分为4 类协议，也就是说该协议从系统的总体框架（ H.323 ）、视频编解码（ H.263 ）、音频编解 码（ G.723.1 ）、系统控制（ H.245 ）、数据流的复用（ H.225 ）等各方面作了比较详细的规 定。H323 系统中的信息流是视频、音频和控制消息的组合。系统控制的协议包括 H.323 、H245 和 H225.0 ，而 Q.931 和 RTP/RTCP 是 H225.0 的主要组成部分。整个系统控制由 H.245 控制信道、 H225.0 呼叫信令信道和 RAS

2、（注册、许可、状态）信道提供。H.225 它主要处理传输路径问题，描述了如何操作网络包上的视频、音频、数据和控制 信息使其提供 H.323 装备会话服务。 H.225 主要有两个部分：呼叫信令和 RAS （注册、 接入允许和状态）。H.225详细定义了 Q.931信令信息的使用和支持。在IP网络的TCP 端口 1720 需要创建一个可靠的 TCP 呼叫控制信道，该端口完成 Q.931 呼叫控制信息的 初始化，从而实现连接、维持和呼叫分离功能。H.245 是 H.323 多媒体通信体系中的控制信令协议，其主要用于处于通信中的H.323 终点或终端间的端到端 H.245 信息交换。 H.245 制

3、定了一个控制信道分段和重新 装配的协议层（ CCSRL ， Control Channel Segmentation and Reassembly Layer），它可以在易出错环境下保证应用的可靠性。 H.245 提供了一种功能交换的功能，它支持两端设 备通过协商确定一组通用的功能集。二防火墙 H.323 ALG 功能简介当内部网络的H.323终端穿越防火墙与公网上的 H.323终端进行通信时，由于NAT功 能只能将传输层的 IP 及端口进行转换，无法对 H.323 协议应用层携带的内部数据进行转换， 应用层中内部数据直接被转发至公网， 后续协议信息处理时会出现问题； 而 H323 ALG 则

4、可 以实现应用层数据转换，协议数据发至 Internet 时，将其应用层内部信息转换成公网信息， 实现完全隐藏内部终端达到通信正常的目的H.323协议属于多通道协另外，应用防火墙一般只开放特定端口的数据进入内部网络，议，控制连接使用端口 1720，数据交换使用端口为临时协商，无法事先预知，若无ALG功能，协商出数据交换通道所用端口后，外部网络终端尝试对内部终端数据交换的端口进行连 接时，防火墙会对其进行阻断，从而数据传输通道无法建立；开启H.323 ALG功能后，会在对应用层转换的IP地址及端口进行转换的同时，将其信息进行记录，使其在外部网络终端 尝试对内部终端数据交换的端口进行连接时，防火墙

5、进行协议识别，对后续相关协议报文执 行放通策略，从而成功建立传输通道。三.H.323 ALG 的典型应用组网可编辑H 3231 : 11,12.13,9940-45H艾3绛端2 : 172,30158.100四.一次基本的H323协议连接过程及防火墙处理流程1. 客户端与服务器建立TCP三次握手连接prI arr nJrTvlviiLE一 41Q4TOCll.lMd.99U2JQ.15E.1C0KPctcrcK.tds h323tiost凶 1 訐則昶共 沖朋64240 Len-0 MSS-1460|2 0.002846172.30 .DB. 1

6、00IL 12*13羽TCPh3Jh:st:a j ce：r.：_t：5 li 心” 5. ickl M5)35 ler=C M55iJ60U 1? 1： MKISI.IDOKPr#-drtK fd TiCifl 時ifk-1 brin6A210 14 0.031511.12JL99U2J0 1M.1(KPTCP segKnt o* a reasstit 矿同5 0.2DW14lW.LSBJOO11.12.13.KP? cairQsJ：5 ,xk sq=l Ack=5Lm=Q6 0.20W11.12.1149M38L15LWH.JJ5.0C5： setup7 0,14753911.12.13.

7、TCP1CP eq Tent of a reassencd pdu (La为11.11 U.D2.3&1M.1JMTCPt*dros_Ms、ack舌以卜2打 Mkd win=H6 Ln=0；.41292172.K.158.1M11.12.11 船H. 225.0 h323JiuALdll处沪汀：AL.k4 nirMilS Leii=；11 LI1&499172.S0.BB.10CH.1LU.99KPTCP SBQMnt of i ireasscftld PX12 5.94441011.1LB.9917JJ0.15S.1：0KPtcrosJJs 1132 JhDS teal 15eq237 Ac

8、k3 嗣 193 Ltfi-C13 5.145492172-J0.15B.1M11.12*13.99KJ25.0cs： connect1J t058279U.12.1L9917：. JI 15d,l3TCPDi-tg?vl-tO云 Frine 1 (62 b/ts on tfire. K bvtes captirEd)r Ethernei u, xc： W：(X：出:霭：2Q：1* (10：s；29：臼；20；笳，瞅：nangzhDiL加:50 0;确;治胛：讯;期w rrTTH-Pt PrerwoT Src： 1I.17.B.K (tl.l?. 州.阿：17JJ0.1SSJDO (P?.W.

9、ltfiJOfl)9 TrinsvisEfmantrol FrotMol, srcPort: cedros.hfe (4M0)t cst Port: hSZhostQll (172D)i seq: 0f Lbi: 02. 建立TCP连接之后，主叫终端通过 H.225协议发送setup消息至被叫终端，表示主叫方 希望建立通话（FW开启了 H323 ALG 功能）1）内网主叫终端抓包报文Etpf ALS.Lil口0 电 hbjlIk +14RLIUUULf 占.3U.J,亠 2T7J7357TT57IDD刖If 111441uq匚厂；m u 訂仃吓t11 |口_:；勺-丄川匸r和TfRfTiZP

10、写己护仃亡 b a廣DUlj4,：-l h -5 rnj-ne |, L- Zi : t i.哼快 点 白片3：亏ShlblElj二Dullfr Frime 2 5羽 Q 横 byres m “r即?8n 匕典巳 ipT jred)E EthETiet II, src: 10：Clcr29:e3-2d :la fic rDcr? :e3:2Cl:La , M : Hanq-haiaaiBa: (L!ifl:?4:a:&-l:6a: iD)卜 internet pnartKDl, srE ipAddessIp： 11J2J監対(11.12.13寒l阿妙1“ ndtawii tForconmet：

11、 f9Ui_S4e C0Q：；4 ；K：W；6a：t)B D5t： Wrt_5hC：9c； &D), IKC Port: hlJ!3hQttall (1723) ； eqi SB jU； hui-na Clhl23-io: pcechl 学TEthi-solreelfrffr8i dotciirignjuuMresi: Tpixaartii cajei祁Ad0fkitemet上怕(蝴樹地H1p： 172. Itt-lSB-lOO (172.30-156.100fMtftS 1*2&t enftf ence id- Sf06159-il=y4-J74b-9dff - e44f2d 2 a -cG

12、rrf-ertrzEGoal. cr-sats G J 门 cjllTyp?. pwiirttTciPaiinc (0)訂 1日网宙e)t IpAddrassIp: V2.MAil.241 a?23045B.24D py it I76& SSTTtBISHTnF由上面2个报文可以明显看出ALG对协议应用层的数据进行了处理3. 被叫终端返回CallProceeding 给主叫终端，表示被叫终端正在处理4. 被叫终端返回Alerting报文给主叫终端，表示被叫用户已被振铃1 ）内网主叫终端抓包报文c o. sans? 11.12.13. n7 0. 24759172,占CM5匚 IM倉白耳丄丄疔T

13、TTtTWrM172.llfl?.r 13.99H.22S.DTCPCS： Mt谭tup searnerr of a rea-EseiHbled pduall |AE 4-23?出亡配目 tftr4423& Len-flTfl fl，FST P-FL1!pgit丄 s.业i?z. jgaijihIdaU.121 u.n1LPhosfall 4CKj 5eq=Z37 Acb=44 bdn=64197 lein=OrLP占Mr曜r tff之电畧言电r*1电d PDUf需?lc j- hlTPf r hpt n! rc: hanqs+wBj-fli -6.1: W (aq r ? 4: a r fl

14、-fl r S-a ： SO1) P Dst： 10：0c9：#l: ? ：la (1 DrOc e ?9 : *1： ?Dsla)-irrtrnei: Pr 口 tgcol Srcs 1*2. J0.15B-1M C17?. 3D.1J3.100)h D5t： U.1Z-13.M Cmm】头旦仍t广dm化占ion camLTdl ftococcjI h sre fwh: h321has.ccill (173b) B car Fori.: ced- as_f di (iUD) t seq: 5, Ack： 2i7f Lem 592 Reissmbled ftp 証寧iero (41 bytes

15、):(4) T rt(39)J3 TDKT. Vfrfiiofi： , Length： 4 3n Q.Jl白 H.2Z5-D 5h h J2 3-ls arififor rati &n11321 nu |j0uhi?i-r*esaq?-idy! alct-Ting LtfH!eflinedNQde: raiseZ cj.1 I Idnt if i ar卽Hdi. b汕皿bbklp-ce?Wi*cbO4d2）外网被叫终端抓包报文FJtf咛 ip-jdd r= =DO| * | ErpssiQr-u CJw-opSavTim*Ifire丄廿丄U. JU丄4jLJLALk 丄3 明 a J.-JIC

16、RJr 乜 1 魁和 t i5T iLQ3Frane 114Z;忙佥Ltk9l1d7-4Id ECT咆囑亜哥二翻aprure冲11 5.&164172.M13a.lWId亠11.12.13.WTCPrep segasnt of j reasseribted 缶uFB 畀训丹琛172,33.158.100urn沖H.-225.ir2-3o.i5a.io-:TLPH1LJ : _ i i 2-N.亠 二T i.k-1r-5f52S L -2i - _ rsSr-UCEtherfliiK： 11. Srt: wwarOcsGt:. tO&：Dc；29iic：L src Port; tiH23ho5t

17、Cil|lpit Port; cedr&s-ftis L40)a sea; $ JUck: 2?7. ten; 39-：Pea5 5：5nh1er| idp ierrentE 也3r. *112(39?7FWT讲I：仁 Ltripc 433 q.nd H.Z25.D C5f ri32j-u.ei mf Drrrdtlonlb1 h!23-uuvpdu-hSZgn已玮mge-twdy; lertinq (3- alIngproc ocol Mrrc 1 f f er ：山山竄：巧九山工(veri Iwi ?jH de?*： irut iinninfoTenrFnalD x i K a rtl：

18、FalseD ijndefliFt&Eliaades Fil s-ecallIdentifiergurtti:Bte-bJ口e-fla4t-llk-:e7b44H-htrnuL li, lit;卜省2hu_阴；的：怕閃：昶；展：脯：和：5須.ClC； 10:血：考；的：20:1丄(竝：加：西：时：对:丄) lnrtrrict Protocol H ,ra 理打41MJIK) 口雹-関，lR-lQOj. D5t! IMZ.lkW port* 1121- miiiiatiwiEnfo9 vend&r 阳 weicrH ?21 waniirf acrurpr: pirroQfr (DibSKWc)

19、priKlurtTd: M-icrcksofSi 16 etveefirq varsionld; 3.0WZ- me： F315t，B unfi-afiwdMMIf: Fals# ccrrfsr即“m；; acZCb5S-H&I-U3-9007？矿时旳彌24I caHidesnilfler卵 1 d: b3flMBbB-b3df-BM7-al34-ce7b44chof4d2）外网被叫终端抓包报文11-1LL12 7 J 52811173 7.55SU22OM :.目5細;,皿非Rd硏MGI 2KM2.9ai302l i IF i,172*丸皿】OD 1723d.lS8. Ml D23O.1SS

20、.1DD172J0.US.1DD171.SDL15B.21L172.1C. 150.10(1 172J0.15g.n r：门 r兀石* nn17230,159,241172.2C.158.110Tb ced-D： - hlhoncl :心:dc*237 A：k-5 Wln-M23e Len4h,m,Q S： dartingcedro? fcfc - h023hoftall MX 5eq-237 *：k-W 审”64197 Len=Otcp 汀旷：tn of i resssifitjiei poj刖才町hd刃hm昨科 11 Jack 5ec|=Z3T *-k=18 rfir=fiti9T LFn

21、=jTCFTCP3BiolctMtaapp_u4_Kq=d i(1n=6l340 i_an0 Hss=L4fib sAckjtrm=TC?rnpp ” :rt35vc srh. azk 5ec-y 虹、匚 wn-f iSj： _Er-D* Etncnet I：. 5TC： Lna/e 5ci9t：7t C0C：(k：曲:術Qu;7th ：hq亦iu 北:师:=eg：M：肚:阳血:4曰I internet PrcrtocDl Version 4, $rc： 1Z2,3O,LJ3,1CQ Q茂”却DSt： 172.1,241 g72.304.2UJI Trah5*iri5siwi Control

22、frotKol, 5rc Pert： h321ho5tcan fl?20)T tet Part： cedtDsi-fifc (41J0). 5eq; 45, Ack 2i?, L&n： IB 门 Re匹梵mbbd TCP ieaients :IK tytsj:巴能？口 TPicrr vtrildfi: 3. Length: li-I Q. 511-H.225.0 CSriJiS-ujerirroriiatim2 h扣占-uu pdu- H?3-npip-brely: aunct QJiE connectproTociiljdBnrlfier Orf1- Br2?5a,0.7 (VOT1(M 2

23、)h4Uddr5$： ipAddr55 (t)-IpudIref；Ip： 172.30,159,100 072*311.lia,UD)phi: 1121E destirHtjrnnfa1 vtndjrurilnal、-Q* “+ i rupo kk seq-l Ackl *ir-6*240 Len-0HiiJiiiifa V-ri v hM- - ! ji *44 J| -W4 *-4 I V I A * 4W tc- sfiqrwrt of apcuCeffi_TdS rH2hBTC111 ACK 5eq=23； ACt=4B lEL rfin-64(8C ILX :erinakaalln欣

24、.垃*. iasrerSla.旣缸ernincTiofuckTrifpirrM Protcrnl , -；rr: T1.1?.lA. 11.1 ?.11., Ef: 1”.和一1瓠1 平1 fl 片一血巧乩 100)Tranwisiw Ccntrd Protoccl, 5rc Fort; girtgsrc (4141), Ost Fort: i|npp (1121),5eq: 0, Let; 050irte port； girtgsvc (虹41)1DtsTiration part; rp (1121)、ftrcav index; 1J5cqnJtrce 叫rber;(relati/e sea

25、ience nmber、妙目酬壯冊觑叫方詢册放楠口Franc 14 (62 bytes on Hr匕 2 bytes- captured)+ Ethier ret II, Src. 1： ;0c;29;e3j2：la ；10;tic;2?;e3;2C;lcJ, Dst: -anqzhou_93;5a;5O tOj；i4;ac;5fljfaj SO)header ltngth; 2S bytes t Fligs： (UQ2 (sru)Wlndov sin: 64240i checksum: Gx7 讯9聊世 qf i reasjeibld pqi ”弧(niqnirr 时 ime五aiiilM

26、4H.2；S鬧已6龙55厂il. HU 的12 : 1：；：TCPoiiijL5c irtit-rci |5Hnn=d2i j Larr-Z 55-1-fO34 &.B1NU1L12,1J- BTC?JKt$ nc：. * -ic-xsur .!,j xr iiti-vu 刃；| Srl Mkl nirHMJ-lQ L-OB飢血躬兀3? 6.621151n.U.13.99ULSM3UMr?, w.mivo1142-13-99ICPTCPMdwm irrrr PSH,取町 5f-砧丄 1 rirM4?4H Lfn-25 nt-L-ncs uidocsi呃fsh, ACK 5eq=L Ack-lf

27、i iiir=fi551i Ler-21H L03F9H 科 t4Q 6.6+5E87U.12.U.HU.U.33.W17j. 30.153.10Qm.n.iu.iioH42.13.tt2TCPTCPoidosw irt ics LK1Mipwj匕 nn-QidKIF iltC-K F5Hh 4lfJhd(B? ViMLHi L眄IIImc-rKi jldJCS. -5H. ma :l.-LZir-5329 Lli-113JI t.bl-4tii. 12.11. y412.9.15B.1H1TCP:ch:h： , u?:-TC? IfTH. At :.irk-.；： Mr-.H li .er-

28、iJ:Mi:仍 11 1? u.qsr? w.bfl im* CtheriKt n, i-c: HngzhoB:b:U (M:U:ar:8B:Ea!Sfl tst: U):0ci?9i：?0:1j 1tilthirmiim*tf: 2y碾陽制I三厢昕卄帕矿删瀚it醛工瞧-r#-. truLaici ldwnt iPriMtcri.伽；iniAst (0Mil CAST： NUU.代Mirlr&Tr=- 1 讨?.1 早 FYkrEW ?：-Iocs i.-FiJicfcrK j _ricEsti：2rtis J)=rFAdd-essrLMOrk: 172,30.154.100 (1?2.304

29、51.1).a. MiociitKcinfirmc#: Fils*:Fgtm：审uti;tiL舛2芮向$:陀2刃L：qi切1“和理1圧宀子叭:耳* （C2140 13.21420LF2.3P.15 i.l JU17L.3D.L5B.W1TCP:* S5gr?rr of a. isssiklec iwj71JM5 fmnfitt 7 ? “ 11R Ml17? M IR iYiTBTC %超1|旷口门t nrf * rpjkk/ih -ii! 口*1216 IS-1282L72.3Q.15E.UD172JU.15E-ZUHMopDruoglcalchumBlAck2U71L65；TL72.9Ck

30、.15B. Mlm. so. if a. ico&pirLagi-:sl-iiAnnp; fisj 次TZLI4 U 跑WL7?.30.UG. 241TCP7l flocsJE ilK-OKE StTj ee-Q Win-&C2+； u=n-； HSS-L： SXk Pnn 13-65W1?23015BJOQ1?J.3O.15B-?41TCPinr-A. 4 n 4 AAq F泾A 1 f H Fd 巾1 丹* Aka*aiP Ffw-“ .in 1 4(用勺沖心l JEK V4 A i “叫丙m Friffl* 2U6: 75 byrB* on (600 Ibiti；) 7T captjre

31、d (60& bits)3）外网被叫终端抓包报文卜 Lihereu U4 Src;梯电匚；肚；7b CE；M；2y：兀：QG7b Dsi; HangEhD也ss；辆：壮(艸：2雷芷；6；申厂r internet 阡反vrjiqn 4p src: 172.304SS400 CL7?P50s 153-100)P. Mt; 17?-3O-i5iB.?Jl 072和458XL)* Trans His 5 kifi onniral procjcol, src pa i: rmpp (1121), psi par t : oiRasvc(4141), seq: SBQ, ck:；剂監 ilboi： 1 t

32、 2 R.m好卽E民 TCP ferienrs 血、卯笳尢 WDh *Zli6(21J tpkt. yersftn： 3P l白igth: 35HME PDU Type: rfisponit 1H response! openLcflicilchannEiAcfc- (5)-np-?nL nqi cal thinripl近kfprw-dLcglcalchainElNurter: 257三 reversELagica lc hnnE 1 Pfan =t ers 卜凶才発LdciulChin广i或Nun/广：2Jyg sspir.atfl5tad.s dl sir 1 hution: unlust

33、 0a)h ntti*flrHdcire?5； 1口11*甘菲.制邸,(2)e lMArtdJJdrs: ixi1 casLJddress CO)二 Ip叔nerrk: 172 ”05乩 1帥 fl?2：-3(J-lS-100J tsapldefit Ifi er: 15036r jTV ETi讥业孔J 百口E T吕旺s frinrdNul t ipl i* - a_ t Pi r *rpt r$: HiJ 2 T Okagi c d dianm31 Jicl Pir srs (0)ks 5QLa g1 c-alhainelAckPaifarer s由以上报文可以看出后续数据传输被叫方将使用1

34、503端口来建立连接1503端口进行连接来7. 通道建立之后，进行数据传输（主叫方将使用多个端口与被叫方的进行视频、音频数据的传输）HitieU &阴应11,.13.99H c.E5jO：I12,30.158,UM43 6.65035444 652153 U.K.ll 99込 f. 6186.-01E12JTWTCP36 6.6193569172.3C.1511DCTCP37 6,621154L72J0,155.1D05TCP38 F托打尸1H.U.13.99172 JC. 158. IOCTCP39 后驰U.1Z.13.M17Z.3QLBB.1DOTC

35、PJO f.MB887r2J04584D0U. 12.1. 99TCP亦:XK头匸、：IT：-T25 IACICI 虫打“収典 LEC=：）_SHf ACK seq-l Adl brin-44240 Ler25imtc-K oldocsvc psh, ack scq-l Ack-2L(n-21aide凸x irtc-Ks aldocsc 1tc-ksK Seq Dittoes P5Ht ACK5eqZ6 AcMZ Win-Mi9 Len-iu32 Ack-207 r65329 LeM1311,1243.99U.12.13.9917230,158. IOC172.dJ.lrS.10CKPKFKP

36、TUaivc ivt-s iffltc ICS 31CK .CFIN, ACK.4,心T祈菇 Ifin-WIK Len-0Aclc-207 IriLenToidocsvc irtt-KS IK Seq=204 Ack=ll& ktin=Ml(K Ltn=O olcsr inuc-fri45 t.652190172.30.15B.1009KPimtc-ncs 3iCxs r 31C5r；SMr Atn 5eq=0 Adc=l in=粘訂5 LerH K55=1460|4： 6.6616*8U.U.13.W172. ?C. 158. IKTCPcHdsr imtc-KSMkI Seq-i .Ak-1 flir-64240 Len-C4fi 6.M2354U.12.11M172. JO. 158. IOCTCPoiosr imtC-nCSsn,応k 5ec=l ACk=l Win=6*2i0 _en=2S取卜hKJUa1 -1)和 1KH 询li o if. hlfehSrt 1 W=?1dl=M24G ien=C 55=14&DSCUTE壬 h叭 35 (54 b/t吓 on hr気 口 bytes FtUedl彳 Ethernet nh sre; 10：0c:29:e；;?0:la 仃0;优:四