본문 바로가기
업무이야기/Firewall

Juniper Firewall ALG

by 쫑콩아빠 2012. 2. 20.
반응형

 


*ALG(Application Layer Gateway)란?

NetScreen에서 V5.0에서 특정한 프로토콜(SIP, FTP, H.323 등)을 지원하는 신규 기능으로 ALG는 특정한 트래픽을 분석하여 NetScreen 방화벽을 통과하여 서비스가 가능하도록 resource 할당, 유동적인 방화벽 정책(ex: dynamic port을 요청하는 경우 편리하게 지원가능)을 설정할 수 있도록 지원할 수 있는 기능으로 Protocol Convert 역할을 할 수 있음, 알려진 포트를 사용하는 경우 및 정책에서 지정하는 경우 ALG기능을 사용할 수 있으며 ALG는 해당 프로토콜의 Payload 내용을 감지 또는 변경할 수 있습니다.

[출처] ISG1000장비의 ALG기능 질문입니다.. (주니퍼 엔지니어 모임) |작성자 네오

ALG 관련 ISSUE가 한번 있었다.
본사와 지사간의 VPN G to G를 설치하기 위해 부산과 대전을 다녀온 적이 있다.
VPN 설정하고 통신 테스트 하고 전혀 문제가 되지 않았는데... 한곳에서 SIP 관련 ISSUE가 발생을 했다.
인터넷 전화를 사용하는 업체인데 전화가 걸려오는 전화를 받는 것은 문제가 없었는데,

다른 곳에서 울리는 전화를 땡겨받기를 할 경우

약 8-10초간 아무 소리도 안 들리다가 이후 통화가 가능한가 싶더니 15-17초 이후 전화 연결이 자동으로 끊어졌다.
통신에 필요한 프로토콜은 SIP 하나였는데 Rule 부분의 문제는 아니었다.
결론적으로 주니퍼 방화벽의 메뉴중 Security 탭의 ALG에서 SIP를 Disable 시켜서 원인 해결이 되었다.
위에서 언급했듯이 ALG 는 L7 기반의 Application Layer Gateway를 처리 하다 보니 우리가 알지 못했던 비 정상적인
패킷에 대해서 처리가 이루어지기 때문에 오동작으로 오해하기가 쉽다.
더 신중한 보안 및 Application 처리를 위해서 ALG를 사용하는 것은 맞지만 국내 현실에 맞지 않는 부분도 많은 것 같다.

반응형