防火墙H323协议处理流程及H32ALG应用

1、H.323协议简介H.323协议簇是ITU的一个标准协议栈,它是一个有机的整体,根据功能可以 将它分为4类协议，也就是说该协议从系统的总体框架（H.323 1视频编解码（H.263 音频编解码（G.723.1 系统控制（H.245 数据流的复用（H.225 ） 等各方面作了 I：匕较详细的规定。H323系统中的信息流是视频、音频和控制消息的组合。系统控制的协议包括H.323、H245 和 H225.0 ,而 Q.931 和 RTP/RTCP 是 H225.0 的主要组成部分。 整个系统控制由H.245控制信道、H225.0呼叫信令信道和RAS （注册、许可、 状态）信道提供。H.225它主要处

2、理传输路径问题,描述了如何操作网络包上的视频、音频、数据 和控制信息使其提供H.323装备会话服务。H.225主要有两个部分：呼叫信令 和RAS （注册、接入允许和状态1 H.225详细定义了 Q.931信令信息的使 用和支持。在IP网络的TCP端口 1720需要创建一个可靠的TCP呼叫控制信道，该端口完成Q.931呼叫 控制信息的初始化，从而实现连接、维持和呼叫分离功能。H.245是H.323多媒体通信体系中的控制信令协议，其主要用于处于通信中的H.323终点或终端间的端到端H.245信息交换。H.245制定了一个控制信道分段和重 新装配的协议层（CCSRL , Control Channe

3、l Segmentation and Reassembly Layer）尼可以在易出错环境下保证应用的可靠性。H.245提供了一种功能交换 的功能，它支持两端设备通过协商确定一组通用的功能集。二.防火墙H.323 ALG功能简介当内部网络的H.323终端穿越防火墙与公网上的H.323终端进行通信时，由于 NAT功能只能将传输层的IP及端口进行转换，无法对H.323协议应用层携带的 内部数据进行转换，应用层中内部数据直接被转发至公网，后续协议信息处理时 会出现问题；而H323 ALG则可以实现应用层数据转换胁议数据发至Internet 时，将其应用层内部信息转换成公网信息，实现完全隐藏内部终端达

4、到通信正常 的目的。协议属于多通道协H.323另外,应用防火墙一般只开放特定端口的数据进入内 部网络，议,控制连接使用端口 1720 ,数据交换使用端口为临时协商,无法事先预知, 若无ALG功能，协商出数据交换通道所用端口后，外部网络终端尝试对内部终 端数据交换的端口进行连接时,防火墙会对其进行阻断,从而数据传输通道无法 建立；开启H.323 ALG功能后,会在对应用层转换的IP地址及端口进行转换的 同时，将其信息进行记录，使其在外部网络终端尝试对内部终端数据交换的端口 进行连接时，防火墙进行协议识别,对后续相关协议报文执行放通策略,从而成 功建立传输通道。三H.323 ALG的典型应用组网.

5、协议连接过程及防火墳处理流程四一次基本的H323三次握手连接客户端与服务器建立1. TCP2建立TCP连接之后f主叫终端通过H.225协议发送setup消息至被叫终端, 表示主叫方希望建立通话（FW开启了 H323 ALG功能）1）内网主叫终端抓包报文H323疑河L: 1112.13.99172.3O158.24O-1723O.15i氏245i c.cm$95* 、，2 Q JW.*：5tZ3l : Wd.?1 cocros fds fsccf，羊:叫用尹卫松4 W： 1Lev； CS：!；M1 KM1“H323翳2 :00li.li.13.55:tcp 5egMt S

6、T?FSS313WF5 C.2X5U1T2.K lw.lW11.12射Pl32S .tL411,gg.伽:5=1*匕5 GiM5531Lw=06 C.2WU.n.lL9)V2.3M53.10tH.225.0 SEts2切刃 VLK.liS.lMP:TCP swwrt 才 a enbcd PXl3 SL1刑U.n.l2.0172.3：.：S3.1XPw:rosja、型比处山】S-2F A48.1)011.12.B.99K.K5.05: ilertino）外网被叫终端抓包报文2由上面2个报文可以明显看出ALG对协议应用层的数据进行了处理。3. 被叫终端返回CallProceeding给主叫终端,表

7、示被叫终端正在处理。4. 被叫终端返回Alerting报文给主叫终端,表示被叫用户已被振铃。1）内网主叫终端抓包报文J-i 7 AF cw - 7- i .J二F Qr二?x 詆:;?=.：=) JI UWY.T2 rTr .3=201 CEmfsR-aRB Ac som gpfx-u 07M7 &r vs,. hY0afma72CLS5Rycn2 3 AYKd: 赵 22)】-、J-lorv -、rm V:$mF 37E5R-Q E2rlwz“.:;-tocy: WT4Ss.Xvs rnwocoMcrnFTr:pO.JYSHi (彳二 32)ffl rcerdre?z 二亠三 safssfo

8、 j 十寓ILs<u “二Gi JJE?S -s石誉1KJ J*二八i(B E；2 f ? m h c 愧H-JIUITMfrfytQrrJ- -,s0gN $*!# 二rkrlsas*-2a.;- ixr: :； :u4 2 壮二二 “0 s Hc、m 二-J 3 s OJk slx)=M-2合二匕 Kc WKVJrrs cs- &” FXZ.CNC-:匕3 u- r . ZPI.E 二Z &G 吳电” pse- EUHEJ V pb 3 p 4 Qi . 氏：w; Z -i.tO Q 6 V 、i S 5 * 1汉 ；涪1、；卫.站鹤7 2-2.3 M 1护舵i U 1 X X匸H1O

9、百扌 龙?4 丫嘉一 K ：1?iLIC8 二 7 3 I 13C 】辻?1一3E MHw fT.f :kAX*at-l*_ 匚一C 0.XX.12.ir Min.分S T2*a. 221.0TTTCS： aecup(ttr林*oj,kJlUIWHU fmvuiu11 (ACK SQ-2J7 A4t-i vin-4；11 5 31M95 n 3X151,1W11.12.1L99彳d*c石 JimhmrtT fif：: 7q ?1* vt t inn Of i0 (TCP s?wr 护,cfHJe: *0u*cn wtrr. O tyrr oprirrtf)nar9Hvu AB：t：5O oa：

10、?4：r:M Sa:M)v 0e： 10:la) :nx(rf*t ewcoI yc 丄(h.xj.jmxw：. ox. xi(u.iz.x.w)、Trjftjnssfo* ccmroi rrci. sx 23iwxcli U72W. m *: d:i icri n7 icr(41 ty!K)：*)TTWcT.、c8、5： ；. Largtn： 42Q Q.1H-4 m.O Ci“ fi-；5ar.*crna:ian-hlSAe-妙a伙71*坷3讪耳4Uritr alartir(ratcolTifA*li . D.0.0.刀蜀.0.7 C*3 7-K5Tlnatfl；nfotVW-TOl.0.

11、 . . x: rh.cmxflrMOtda：Z* ir3$d b站3UU14 “bM30dI” . ； P5.!0ul%.：| | Z-y m：m .:32 “3C,g5KiicUroIVwd/iwuu “WC ；- u JJ :tccH - .c;rth |XL 1 5r；-l .- * -.:- 4 rMneKscjjI uu -乃轸仏g3：.為 100m. ： J5.0 at; aicrt*.aS 1J.3!W：. . .4r2.2O.L5B.241repCt.Pt -* rmJ jNE lf.9Q!U& 12 .TbC9ZTM fdr MJJoxtol： IKE1 oaJ/ Ack*

12、4 5r-iL9J jd (OG:24；ac:ii:a；50), ns:； 19:0c:29.3JO.; ：C.O; H FZk 穴乂少 rc: b?. . ISft.iQUHi-;XQ. . I.1 Jr： 0-1.9-C, 0穴 hrr. * 3. s.r , t”： I：KF 幺cneru(IV byxw)： nKUJ)XTvvlor: i. Luivll: UTW.2J5.OCSe Wily Mi”S h52-W-pAiress ice txjy： ccrnca c*raZfCTXOliWrffYy： SO, 3.22SJ2 (wrHir 21m h2UJJc;(皿(0)Hip： ir

13、00 012. 30-153.1(M)pg 112】n Ci5f na：iIrtovendor* vuiiix H,221 w*试acttrer: vkreSG vm *i mid: 3.CterminalQrc: ui$e）打开逻辑通道阶段（能力交换.主从确定阶段省略）2 ）内网主叫终端抓包报aliidenrlfleQl1d： hl! Zf HfrS AIM ；lHnnf4d：3U&0 i7h 知丄 d y2.3J.L58.K5JC.DB.MCl.aO.15fl.24L173.30.15S.10：l.j.l59.e4Lccd-xJx kQhkW M

14、R KQ-2?r A.-5 箕 i:r- -2uS: i ?r-nT- cedrM.fa -JnhHTcVF :g： S?q-2?T-44.eg。T= TCP 处呻 T l 緒冷KUJ】0C712伽心:刀.30.LSS.10&173.30.1SS.24LrSH&nsT EtefOfiC H.可.m i 幺:Qc：7t (X.：.；c：61.7b：. DS： *yiX a6.6e：4j ：);24：C35；:!：:rtcfnct rrotxM g；R 4. S-：:：l?2.iO.：5&.l：0. Cst: D2血2转241 归2冷冷? - C 5ik 5t 卞 l； .tfJ .5Jh (41

15、40),4-5. AU； ?k, i汕；二？ .2 5feiss4!tkd 口 -wne i.U?加：:穴心.旳)汽丄). ”1. w%kr: ? Liftfi: 11.7 MMMB s “J Z?Jnf$iy:nry: mman (?):.eaprctooiljdrilfkr: o.c.b.zjm.o.j (uerUofi ?) kWAjtf陀炽 9212 5.MX413ll.K.13.592：2.30.1$ 10：K- - - $ *J q ；tv ;mrt ：F a rtasseib d fp.1Cra tds 133XS：U ba) Se:=25； mZS meu刘

16、K 6.J15U6H.12.13.99FZ.3aiS8.10：Kri * V-li e.22：ir172.5：.15f.lC11.12.13.K1 6.2226S7K 6.H6肌21 G.ir-B?22 6.m“)?j e.nows11.12.13.IG172. )：. M. noU.12.U.W11.12.13. W i；2. izm.icoirj.lO.lB.IO：l-2.-0.D510： 血 K8.18ILK.15.99H.245H.?*52 K?H.23:”5 “pw&C9讥护VC 伍2 iaj 为TKA)TCP nwncrl ;* a r wjeib d FDj tcraina*sp

17、jbib4T rertinaeib tfJ FP.1 ccdrofijz hJ3hc?tca1* ACK So:-2I? Art-1 cl &氛 icc-0 Cftifia-uDiD1lic5KA：k siersl3ieaieriirMlofUli Etnerne? II, Src: 10:0c:?9:e3:2:3a fifeDcsBreSzXzla, esc: Han)dMM：Gt：SO (00:ZX：K：48:Gt:50) * xnsrnex protocol, yi: 11.12.12.S5 (11.12.3.?), osi. 2.3-：.153.1TrsnsHssiai Cart-ol

18、 Prorocol, Src Port： oht护壮(*U2；. 3Jt Fcrt: i pxt; Olrttt.C (4141)XrrinffHon per?: ro (1121)(5irn inoex. 1Squfnc* mrtef: 0 (relari . sequm:e ruixr)光如28 bjtsS丄 L 峥：Orf)： (svv)l 处M $i2： 240i hksLr: 0x740: vilidsTian rsabei、filers: (60( Ln: G27 Jill.k.LLK40excgi“5讥 1 WM C *，、 S M 3 、 、端口来建立连接。由以上报文可以看出后

19、续数据传输被叫方将使用1503端口进行连接来进1503进行数据传输（主叫方将使用多个端口与被叫方的7.通道建立之后，行视频、音频数据的传输）I IIIIIMIHI 111 M:二儿.打丄.：丄刃 （/算谒时：15 C.flWCOM t 91H1： C.422J：斗2.男.以.1 l )l.P.U. IllCMti XI %Md ST iMl4 ACt-1 巾仇側.XK)沁 Att苦. r-2 陰I：Vz- riWA2l9 PM琢如料U 3G ZYW s馅 inc-K5 ikc-os cum MflfiCvf IF- rr :Ki： eiEcur 0r-w , docc .:TT, 5rt!1

20、Z Jll：U 九仁 tO Cr .2 .: : QI irw. wrtor： j. iwft： 2、 =加cHV “wz:Nd 、z n rvriP- ：e理HT 0* 1KifZ146 123沁I v-fc V 丄，O. *715： K.6S7D2153 D.6$9lCMLT?. J0.15B. KOL.细但2S1?2.30lU-. 1：.：(：m.25:paxcq-a1ChimaA：tH.WqlChww :十MMWfM1WMWMM 3M3R100TiCPMJbov? inters$eq-l 4cl-l vi“42 的 Sn4I :ijtx2v tr)i. s- i? r.r.fi wi:

21、r? i( n 阿.、，n :?,r at pn 绚grsrb,fFrvo】 Frowcol $rt 衬=：f (1121). bt 代rktgx Se|： 311. !:x, ”c： /I.2二-.m m.：9:；c:Ci 二,:讥：rf. qx .L_B5;4.;4a4；4. :n：orrw：.1M,1). Cst: 17?.P：.113.241 (”.X.ls.241：i -nrTVc F，frl Prft-ft-nl. A:Tft打 十(XU1X *： 5. S九：，l杆:HI C? .Vc/g：3 . (25 3,八亡:(21 力: ML lb 21 3xH3C1 ay】0); ns

22、fC. fil ：c k-1a)=P5t0SXiTtlWl (刃 炉 5 偏K2rdO frrl itjIokhMQlMAJ牛厂3,上4：h. Hi r 2Hftu Tc: ctq:r： (LJ respznse: erazezkri-nf A：i O CfUC4kr4fC0AC 殊。* lli；rWL 27-e/rsac2ke ctf iAaircjj ; lDL*Af*e34d:*oo2) 1X；lJVUlM*ei： ZiRiLU2f :dg:;*p2se* cu，y y,1 -c”CTf:*.nzcxlu:?s;n=tvs:3L:o,b,3.Ell3*2*u:0vl；tM1 beyKw

23、kadlurcMEffmxcrzSEXnnjqHoll12l益 lm5r =? =11岑.15848 Lib 一益2 岑 15818 IF 3Q匕 a 18 =u2l$c-dcowvncs5 壬八条V oon.A (M V M98 cidcowv5,a is?ilc5voFrRS 夫郭.XI氏巒Ack-1三彳25 r$Hzc 3CYL 安6 AX551.O 厂$21Xxj 從卡乱A7M .0-64219 ug pyxa se ACTMi.*19 L2 已 京土 xc 5eY第 afh.7 aEti-dxswv、S?K$XX】S6X08 RrLi6 汶4106 L?45 65U85J015匕呂U

24、L2 二99亠IBI9BC5IVOMOCSW【Aod salsAdc&K MK5329 Lg4 6gl6“a =2:6 色总 lrFUs 土 A KQV 3 s X*M3K8 C2UJO1KWO 二-P 二 RKP2&r 二 m AdS*E Adc4.iM 二 d5 ciw-fm?!KS fsh k*.冷 o-l ndh .叫 E26LW-2S5 s、，Fa JnccPQ M*.6.1 4?l“ Tc-二=bylsa. /k 卩 M byies uuwzefrnthrret n.胃二 o:OG$;ld CLf?ca2他：3M HanKhwJS 釜 WOE:ac:aMX5wH323 i tcpf

25、fif湘PH-耳关sffisT ()rhfmMmn;vv -v irj/v s% - *.J 4lw *f dMC* rrt-ZMx二.- e9 V ?- 5- -m ： S-8.5.S KT om :- Kf W5 SI? -ai _ Mvtw、lrHrH vzwspuw 弓 -3- 芟F I I I I ! I II ! ! II 11 i HI i I 44 I m l * fcAy?二、 !:!三! dnw b-二.*-上 wna.亠351 2.;.ss6*E一呂s11 =匕富 Qzrto V MA*aK.t=3nrrJ KFg- %匸誉 0 -30 3M0总sf lmxsa 二-:,

26、3$ HP i ” OF yr【ACK二壬空 5wm6M6ri 二、匚 S3M 二、岂J!-Sr - Li ttp rrcIOtd w二 】n AM.t$ j SIxbrsa of 军rK Qorfocrtrfi F l:A：fi,】：F ooo9.20rL y # U.F;SFS S3A Msoon MC】LPX$ B.s.uirsrcs8=8;-03vtnoEcr snfol N2fxo PifT qf二公xcs;.rg - xpswrM 1.5 2 EiwbluJ TCP SBITK 二 GR). wss-X.SHTnn舌 3 Lswh 二TL二09 VT&.&.s snlifBSRR匕

27、 xnnwrd sUEF=lwlr.a:lJ=grfluaa)d-ACCOKCTKLU.-X p3*JT3si i 在防火墙中的几种应用场景五.H323 ; 1.内部终端向外网终端发起会话，防火墙做SNAT字段信息destCallSignalAdresssetup消息中被叫方只关注应用 层中由于h323通话，符合）（主叫方IP （检查目的IP是否为自己，确认其是想要和自己通信）与传 输层的源IP不IP ,当发起方为内部终端时，目的IP即为被叫终端的以上条件后 才会进行后续协议协商;TrustUntrust到转换;Netmeeting软件数据传输通道 都是由主叫方发起,不存在需ALG都对其通讯无

28、影响；但是没有开ALG的阻断 问题；基于以上两点，在此W场景下，是否开启进行转换而将 IPsourceCallSignalAdress字段的私网消息中启ALG功能时，不会对setup其 地址暴露在公网中；DNAT ；外网终端向内部终端发起会话，防火墙做2.消息 中字段信息setup功能，H323的当主叫方在外部网络时,若没有开启 ALG 被叫方在，地址NAT前的IP （没有转换为私网地址）仍为防火墙目的 destCallSignalAdress消息来结束通讯会直接返回releaseComplete收到该消 息后发现其不是想和自己进行通讯,功能才能正常通讯。ALG请求;故在此种 应用环境下,必须

29、开启补充（转）：H.323之童话故事篇说了这么多的呼叫流程，大家是不是有些头晕眼花，没有关系,看了下面的小故 事，相信大家对于H.323 次呼叫过程就有了比较全面的了解。请看：在H.323的王国里有许多成员（各种H.323节点），为了确保这个王国的正常运 转，颂布了许多法令（H.323协议簇具中主要有RAS、Q.931. H.245、TCP/IP、 RTP/RTCP. UDP）,无论是国王、还是臣民,大家都严格遵守这些法规。 在这里将介绍H.323王国最重要的两个角色国王（GK ）、臣民（GW ）是如何遵 照法规（RAS、Q.931、H.245 ）通信的。其中国王与臣民之间的通信遵守RAS 协

30、议，臣民与臣民间的通信遵守Q.931、H.245协议。首先，臣民（GW ）应向国王注册。个臣民（GW ）诞生后,会使用RAS协议去寻找自己的国王（GK ）,他高声问 到：谁是我的国王请回答我r,这时可能会有一个或者多个国王来响应：你是 我的臣民（GW ）,到我这里来汪册吧，这是我的地址。”,当然国王也可以拒绝 臣民（GW ）的请求：你不是我的臣民（GW ）,别来烦我。如果臣民（GW）幸运地得到了多个国王的青睐，他可以选择一个国王并向他注 册。注册成功后，臣民（GW ）就可以享受国王提供的各种服务（如接入控制、 带宽管理、地址翻译等功能这时,当臣民（GW ）与另一臣民（GW ）通信时， 不需要知

31、道对方的地址，只需告诉国王想要和谁通信,国王会把对方的地址找来 给他。对于那些没有找到国王的臣民（GW ）来说就有点惨了 ,因为没有国王的帮助， 他只能与自己相当熟悉的臣民（GW ）通信（即知道对方的地址1臣民（GW）向国王注册可以有一个生命期，过了这个有效期，臣民（GW ）还 要再向国王注册。.下面看看H.323的国王与臣民是如何帮助PSTN王国的臣民通过IP网相互通信 的（即IP电话是如何实现的个PSTN王国的臣民C想通过IP网送给他远方的朋友D 份特别的礼物，他 跑去找与自己相熟的H.323王国的臣民A（GW）,并把朋友的电话告诉他，请 他帮助通过IP网找这个朋友（即一个PSTN用户拨打IP电话，呼入GW 臣民A （ G